Đề xuất áp dụng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001 2008 tại công ty cổ phần tập đoàn HIPT

Đối với một công ty hoạt động trong lĩnh vực CNTT như Công ty Cổ phần Tập đoàn HIPT thì việc xây dựng và áp dụng các hệ thống quản lý bảo mật thông tin là vô cùng cần thiết để đảm bảo an

TỔNG QUAN VỀ CÔNG TY CỔ PHẦN

Giới thiệu về Công ty Cổ phần Tập đoàn HIPT

1.1.1 Giới thiệu chung về Tập đoàn HIPT

- Tên công ty: Công ty Cổ Phần Tập đoàn HIPT

+ Tên quốc tế: HIPT Group (HIPT Group Joint Stock Company)

+ Tên viết tắt: HIPT Group JSC

- Trụ sở chính: HIPT Building, số 152, Thụy Khuê, Tây Hồ, Hà Nội

- E-mail: contact@hipt.com.vn

- Website : http://www.hipt.com.vn

- Vốn điều lệ: 178.420 tỷ đồng

- Giấy chứng nhận đăng ký kinh doanh số 0103000008 do Sở Kế hoạch và Đầu tư Thành phố Hà Nội cấp ngày 29/02/2000

- Diện tích mặt bằng của Công ty CP Tập đoàn HIPT: 3.859

Câu khẩu hiệu Teaming For Winning được sử dụng để nhắc nhớ tới thông điệp của thương hiệu HIPT– Công nghệ tiên tiến, giải pháp phù hợp

1.1.2 Tuyên ngôn sứ mệnh và mục tiêu

HIPT cam kết là người bạn đồng hành đáng tin cậy của khách hàng, đáp ứng tối đa mọi yêu cầu để mang lại lợi ích tối ưu qua các sản phẩm dịch vụ chất lượng Chúng tôi hướng tới việc phát triển và tạo ra giá trị cao nhất cho cổ đông, đảm bảo sự phát triển bền vững của từng đồng vốn Nhân viên là trung tâm của thành công, vì vậy HIPT trân trọng đóng góp của từng thành viên, nâng cao đời sống vật chất và tinh thần, xây dựng môi trường làm việc cạnh tranh, sáng tạo và luôn tạo cơ hội thăng tiến thông qua đào tạo liên tục Đặc biệt, chúng tôi tích cực thực hiện trách nhiệm xã hội, hỗ trợ cộng đồng và góp phần xây dựng xã hội số tại Việt Nam bằng cách sẻ chia khó khăn và đóng góp vào sự phát triển bền vững của đất nước.

Tập đoàn HIPT hướng đến mục tiêu trở thành một Tập đoàn kinh tế đa ngành nghề dựa trên nền tảng công nghệ tiên tiến Giải pháp hệ thống thông tin đóng vai trò là yếu tố cốt lõi, tạo nền tảng vững chắc cho sự phát triển bền vững của tập đoàn Việc phát triển các giải pháp công nghệ hiện đại giúp HIPT mở rộng quy mô và nâng cao hiệu quả hoạt động trong nhiều lĩnh vực khác nhau.

Trở thành một trong ba nhà cung cấp hàng đầu về giải pháp CNTT tại Việt Nam trong lĩnh vực Ngân hàng-Tài chính

1.1.3 Quá trình hình thành và phát triển

Trong những năm đầu của thập niên 90, lĩnh vực CNTT và các ứng dụng công nghệ bắt đầu du nhập và phát triển mạnh tại Việt Nam, thúc đẩy sự hình thành và phát triển nhanh chóng của các công ty CNTT nội địa Trong giai đoạn này, ba công ty tiên phong trong lĩnh vực CNTT và viễn thông là Genpacific, 3C, và FPT đã từng bước mở rộng quy mô và trở thành những tập đoàn hàng đầu trong ngành công nghệ thông tin tại Việt Nam Nhận thấy tiềm năng lớn của thị trường, các tập đoàn CNTT quốc tế như IBM, DELL và HP đã bắt đầu nghiên cứu và triển khai các chiến lược nhằm mở rộng thị trường tại Việt Nam, thúc đẩy sự phát triển của ngành công nghiệp công nghệ thông tin trong nước Đặc biệt, ngày 23/02/1994, cuộc đàm phán giữa HP và FPT về việc thành lập liên doanh HIPT đã diễn ra với sự tham dự của ông Võ Văn Mai (HIPT) và ông Trương Gia Bình, mở ra bước tiến quan trọng trong hợp tác quốc tế và phát triển ngành CNTT tại Việt Nam.

Quá trình hình thành và phát triển của Công ty CP Tập đoàn HIPT được chia ra làm ba giai đoạn như sau :

- Giai đoạn từ năm 1994 đến năm 1999

Trong thập niên 90, ngành Công nghệ Thông tin (CNTT) tại Việt Nam đang phát triển mạnh mẽ, thu hút nhiều tập đoàn lớn quốc tế vào thị trường này Nhiều công ty, doanh nghiệp công nghệ được thành lập nhằm đáp ứng nhu cầu ngày càng tăng về CNTT tại Việt Nam Một trong những đơn vị tiêu biểu thời điểm đó là Công ty TNHH Hỗ trợ Phát triển Tin học (HIPT), chính thức thành lập ngày 18-06-1994, hợp tác cùng HP và FPT, nhằm thúc đẩy ngành CNTT địa phương Để tránh nhầm lẫn, công ty đã lấy tên viết tắt là HIPT và đặt trụ sở tại 12/13B Phạm Ngũ Lão Nhờ sự hợp tác của HP và FPT, HIPT trở thành đại lý chính thức đầu tiên của Hewlett Packard tại Việt Nam vào ngày 01-07-1994, tạo tiền đề vững chắc cho sự phát triển của thị trường CNTT Việt Nam Đến năm 1998, HIPT tiếp tục mở rộng vai trò trở thành Tổng Đại lý Dự án của Hyundai, thể hiện bước tiến lớn trong chiến lược mở rộng và khẳng định vị thế trên thị trường công nghệ.

- Giai đoạn từ năm 2000 đến năm 2005

Với xu hướng phát triển của nền kinh tế và ngành CNTT ngày càng lớn mạnh, HIPT đã chuyển đổi từ công ty trách nhiệm hữu hạn thành công ty cổ phần nhằm mở rộng thị trường và đáp ứng nhu cầu khách hàng tốt hơn Việc này đánh dấu sự trưởng thành và phát triển của HIPT, phù hợp với xu thế kinh tế đất nước Công ty đã được Sở Kế hoạch và Đầu tư Hà Nội cấp giấy chứng nhận đăng ký kinh doanh vào ngày 29-02-2000, thể hiện cam kết vững chắc trong lĩnh vực phát triển công nghệ thông tin tại Việt Nam Đồng thời, tăng vốn điều lệ từ 500 triệu đồng lên 5,12 tỷ đồng và củng cố tổ chức thể hiện quyết tâm nâng cao vị thế của HIPT trên thị trường tin học Việt Nam.

Sau khi chuyển đổi, HIPT đã trở thành Đối tác (Registered Partner) của Microsoft – hãng phần mềm lớn nhất nước Mỹ, đánh dấu bước ngoặt quan trọng trong sự phát triển của công ty Năm 2002, HIPT trở thành Đối tác (Select Partner) của RSA Security và Nhà cung cấp giải pháp (Solution Provider) của Oracle, mở rộng mạng lưới đối tác chiến lược Cũng trong năm này, công ty đã xây dựng Trung tâm Giao dịch Điện tử và Phần mềm Hà Nội (HANESC) tại số 152 Thụy Khuê, Tây Hồ, với tổng đầu tư khoảng 40 tỷ đồng, thể hiện cam kết đầu tư dài hạn vào hạ tầng công nghệ Đến năm 2004, tòa nhà đã hoàn thiện và trở thành trụ sở mới của HIPT, với kết cấu hạ tầng hiện đại và diện tích văn phòng hơn 3500 mét vuông, góp phần nâng cao năng lực hoạt động và mở rộng quy mô công ty.

HIPT đã thực hiện cấu trúc mô hình Tập đoàn dưới sự tư vấn của APMG, đơn vị tư vấn hàng đầu của Australia, chú trọng vào chất lượng và quản lý chất lượng theo tiêu chuẩn ISO 9001:2000, đã được tổ chức BVQI cấp chứng chỉ ISO 9001:2000, đánh dấu bước ngoặt quan trọng trong sự phát triển toàn diện và bền vững của Tập đoàn HIPT sau 10 năm thành lập Năm 2005, HIPT đạt nhiều thành công khi trở thành đối tác chuyên biệt của Cisco, đối tác Vàng của Check Point, Nhà phân phối của BEA, và Nhà phân phối độc quyền của ATEX, thể hiện sự phát triển nhanh chóng và nền tảng vững chắc của doanh nghiệp.

Vào thời điểm này, HIPT đã khẳng định vị thế vững chắc trên thị trường Công nghệ Thông tin Việt Nam, trở thành đối tác tin cậy được nhiều công ty trong và ngoài nước biết đến, góp phần nâng cao uy tín và mở rộng cơ hội hợp tác trong ngành.

Từ năm 2006 đến nay, Công ty Cổ phần Hỗ trợ Phát triển Tin học (HIPT) đã chuyển đổi cơ cấu tổ chức để quản lý hiệu quả hoạt động của công ty và các công ty thành viên trực thuộc HIPT hình thành mô hình Tập đoàn đầu tư và vận hành, trong đó công ty mẹ sở hữu hoặc chi phối hoạt động của các công ty thành viên thông qua quản lý tập trung dịch vụ hỗ trợ vận hành, điều hành vốn, nguồn lực và thương hiệu Các công ty thành viên tập trung vào xây dựng và phát triển thị trường, sản phẩm và khách hàng của mình Đến tháng 6/2006, HIPT chính thức đổi tên thành Công ty Cổ phần Tập đoàn HIPT theo Giấy chứng nhận đăng ký kinh doanh do Sở Kế hoạch và Đầu tư Hà Nội cấp.

HIPT đã thay đổi cơ cấu tổ chức và mở rộng thị trường ra toàn quốc, đồng thời thành lập chi nhánh tại TP Hồ Chí Minh theo Giấy Chứng nhận Đăng ký kinh doanh số 4113034889 ngày 20-11-2006, hoạt động chính thức từ đầu năm 2007 Trong khu vực miền Bắc, HIPT còn thành lập Công ty Cổ phần Dịch vụ Đầu tư HIPT nhằm mở rộng lĩnh vực đầu tư và thị phần của công ty Để nâng cao chất lượng nhân lực, HIPT đã sáng lập Trường Kỹ nghệ Thực hành HIPT, đào tạo đội ngũ kỹ thuật viên có chuyên môn cao đáp ứng nhu cầu thị trường công nghệ cao hiện nay.

Giai đoạn này đánh dấu bước phát triển nhảy vọt của HIPT, đạt nhiều thành tựu lớn khi trở thành đối tác độc quyền, đối tác kinh doanh và đối tác cao cấp của nhiều tập đoàn và doanh nghiệp hàng đầu thế giới như Emerson, IBM, Blue Coat, Cisco, Microsoft HIPT còn liên doanh với Marubeni của Nhật Bản để thành lập Công ty TNHH Giải pháp HIMC, mở rộng quy mô và khả năng cung cấp dịch vụ Nhờ sự phát triển nhanh chóng, vượt bậc này, HIPT đã vươn lên vị trí trong bảng xếp hạng VNR500 – Top những doanh nghiệp hàng đầu Việt Nam.

500 Doanh nghiệp tư nhân lớn nhất Việt Nam trong 4 năm liền từ năm 2008 đến

2011 Và có mặt trong Bảng xếp hạng V1000 - Bảng xếp hạng 1.000 doanh nghiệp nộp thuế thu nhập doanh nghiệp lớn nhất Việt Nam năm 2011

Ngày 25/06/2007, HIPT chính thức trở thành Công ty đại chúng sau khi được UBCKNN chấp thuận, hoạt động theo Luật Doanh nghiệp và Luật Chứng khoán Đây là bước ngoặt lớn giúp doanh nghiệp mở rộng quy mô và nâng cao uy tín trên thị trường chứng khoán HIPT trở thành một trong 10 doanh nghiệp đầu tiên giao dịch chính thức trên sàn UPCoM với mã chứng khoán HIG, đánh dấu sự phát triển mạnh mẽ của công ty Năm 2009, HIPT đã đạt xếp hạng tín dụng AAA trong bảng xếp hạng Top 1000 doanh nghiệp niêm yết trên thị trường chứng khoán Việt Nam, thể hiện khả năng tài chính ổn định và uy tín vững chắc của doanh nghiệp trên thị trường.

Không chỉ vậy, năm 2009, HIPT còn được UNESCO trao tặng bảng vàng

“Doang nghiệp văn hóa UNESCO Việt Nam” là một vinh dự lớn, thể hiện truyền thống văn hóa lâu đời và uy tín của đất nước Thành tựu này phản ánh môi trường làm việc chuyên nghiệp, năng động của HIPT Việc đạt chứng nhận UNESCO giúp nâng cao hình ảnh và giá trị văn hóa Việt Nam trong cộng đồng quốc tế Đây còn là động lực thúc đẩy HIPT phát huy hơn nữa trách nhiệm bảo tồn, phát huy di sản văn hóa và góp phần thúc đẩy sự phát triển bền vững của ngành văn hóa Việt Nam.

Dù đã đạt được nhiều thành công, HIPT không ngừng nỗ lực để nâng cao chất lượng và đáp ứng tốt hơn nhu cầu của khách hàng Đội ngũ lãnh đạo đã chủ động rà soát hoạt động quản lý trong năm 2011, thể hiện sự quan tâm sát sao và quyết tâm phát triển bền vững của toàn công ty Những nỗ lực này chính là chìa khóa giúp HIPT tiếp tục phát triển mạnh mẽ trong tương lai.

Các đặc điểm kinh tế kỹ thuật chủ yếu của Công ty Cổ phần Tập đoàn HIPT

1.2.1 Sản phẩm dịch vụ và thị trường a) Sản phẩm dịch vụ

Công ty Cổ phần Tập đoàn HIPT hoạt động đa dạng trong nhiều lĩnh vực như lắp ráp, bảo hành, sửa chữa hệ thống thông tin, mạng máy tính, truyền thông và dịch vụ tư vấn liên quan đến CNTT Trong đó, HIPT tập trung chủ yếu vào sản xuất phần mềm máy tính và cung cấp các giải pháp công nghệ tiên tiến, nhằm đáp ứng nhu cầu ngày càng cao của thị trường CNTT Việt Nam.

Phần mềm máy tính là tập hợp các câu lệnh được viết bằng nhiều ngôn ngữ lập trình theo một trật tự cụ thể để tự động hóa các chức năng hoặc giải quyết các bài toán Phần mềm gồm hai phần chính: phần mềm hệ thống và phần mềm ứng dụng, giúp người dùng tối ưu hóa hiệu suất công việc và nâng cao trải nghiệm người dùng.

Phần mềm hệ thống là phần mềm dùng để vận hành và quản lý các thiết bị phần cứng của máy tính, bao gồm các hệ điều hành như Windows XP, Linux, Unix, cùng với thư viện động, trình điều khiển (driver), firmware và BIOS Những phần mềm này giúp hệ điều hành giao tiếp, điều khiển và quản lý hiệu quả các thiết bị phần cứng để đảm bảo hoạt động ổn định của máy tính.

Phần mềm ứng dụng là các công cụ giúp người dùng hoàn thành nhiều công việc khác nhau, như phần mềm văn phòng (Microsoft Office, Lotus 1-2-3, FoxPro), phần mềm doanh nghiệp, phần mềm giáo dục, quản lý cơ sở dữ liệu, trò chơi, tiện ích hoặc các phần mềm độc hại.

Giải pháp công nghệ là các biện pháp nhằm khắc phục trục trặc trong hệ thống công nghệ thông tin, ngăn chặn virus tấn công và Hacker đánh cắp dữ liệu Việc duy trì tính an toàn, bảo mật của toàn hệ thống đóng vai trò quan trọng trong việc đảm bảo hoạt động liên tục và tin cậy Đồng thời, các giải pháp này còn tạo sự liên kết hiệu quả giữa phần cứng và phần mềm, giúp hệ thống thông tin hoạt động tối ưu và hiệu quả hơn Trong bối cảnh thị trường ngày càng cạnh tranh, ứng dụng các giải pháp công nghệ phù hợp càng trở nên cần thiết để nâng cao năng lực cạnh tranh của doanh nghiệp.

Tập đoàn HIPT là một trong những đơn vị hàng đầu về công nghệ thông tin tại Việt Nam, cung cấp giải pháp công nghệ, tích hợp hệ thống và chuyển giao công nghệ cho các khách hàng trong lĩnh vực ngân hàng, tài chính, bảo hiểm, viễn thông, y tế, giáo dục và các tổ chức phi chính phủ Với uy tín và kinh nghiệm dày dặn, HIPT đáp ứng nhu cầu số hóa của các doanh nghiệp, góp phần nâng cao hiệu quả hoạt động và cạnh tranh trên thị trường Không chỉ cung cấp giải pháp công nghệ tiên tiến, HIPT còn đào tạo và chuyển giao công nghệ nhằm thúc đẩy sự phát triển bền vững cho khách hàng.

Ngoài ra, HIPT còn tham gia vào các thị trường xây dựng, tư vấn xây dựng, dịch vụ tư vấn, cho thuê văn phòng, nhà ở…

Cuối năm 2010, HIPT chính thức gia nhập thị trường điện thoại di động với dòng sản phẩm Hi-mobile, nhanh chóng khẳng định thương hiệu trên thị trường Việt Nam Dù mới ra mắt, Hi-mobile đã ghi dấu ấn mạnh mẽ và tạo niềm tin vững chắc cho người tiêu dùng Việt Hiện tại, HIPT đang nỗ lực không ngừng để trở thành một trong top 3 thương hiệu điện thoại hàng đầu tại Việt Nam.

HIPT sở hữu hệ thống đối tác uy tín, hợp tác dựa trên nguyên tắc đôi bên cùng có lợi, thúc đẩy sự thành công và phát triển bền vững Công ty tập trung xây dựng mối quan hệ hợp tác sâu sắc và toàn diện với các đối tác chiến lược của mình, thay vì mở rộng không kiểm soát Hiện nay, HIPT đã trở thành đối tác đáng tin cậy của nhiều hãng công nghệ hàng đầu thế giới như HP, Oracle, Cisco, IBM, Microsoft, và nhiều thương hiệu lớn khác, góp phần nâng cao vị thế và uy tín trong ngành CNTT.

Tập đoàn HIPT hướng tới mục tiêu trở thành một tập đoàn kinh tế đa ngành nghề dựa trên nền tảng công nghệ tiên tiến Giải pháp hệ thống thông tin chính là giá trị cốt lõi, tạo nền tảng vững chắc cho sự phát triển bền vững của tập đoàn Những thành tựu đạt được trong những năm qua chứng minh khả năng mở rộng thị trường CNTT, dự kiến sẽ tiếp tục tăng trưởng và mở rộng trong tương lai.

1.2.2 Cơ cấu tổ chức a) Sơ đồ cơ cấu tổ chức

Hình 1.1: Sơ đồ cơ cấu tổ chức của Công ty CP Tập đoàn HIPT

VÀ PHÁT TRIỂN NGUỒN NHÂN LỰC

Giám đốc Công ty hipt MOBILE

Giám đốc Công ty hipt SN

Giám đốc Công ty hipt SC

Giám đốc Công ty hipt ST

Giám đốc Công ty hipt SG

Trung tâm Điện toán Đám mây

Trung tâm Giải pháp Công nghệ

SƠ ĐỒ ĐIỀU HÀNH HiPT 2011 - 2015

KHỐI KINH DOANH ĐẦU TƯ Chủ tịch Khối

KHỐI KINH DOANH THƯƠNG MẠI Chủ tịch Khối

KHỐI KINH DOANH GIẢI PHÁP IT Chủ tịch Khối hipt TS

Giám đốc Công ty ĐẠI HỘI ĐỒNG CỔ ĐÔNG

(Nguồn: Ban Tổ chức nhân sự Tập đoàn HIPT)

Cơ cấu tổ chức của HIPT theo kiểu ma trận, kết hợp giữa cơ cấu chức năng và cơ cấu phòng ban, giúp tập trung vào khách hàng và sản phẩm trong khi thúc đẩy sự chuyên sâu về chức năng Do HIPT là một tập đoàn lớn gồm nhiều công ty con, việc sử dụng cơ cấu ma trận là phù hợp, nhất là khi quy mô và số lượng sản phẩm tăng, giúp quản lý hiệu quả hơn so với cơ cấu chức năng truyền thống Cấu trúc này đòi hỏi các giám đốc có năng lực để lãnh đạo đồng thời công ty và hợp tác chặt chẽ giữa các phòng ban, tránh lặp lại chức năng và đảm bảo sự phối hợp nhịp nhàng HIPT cần tổ chức thường xuyên các cuộc họp để kiểm tra tiến độ công việc và xử lý các bất đồng, đồng thời tập trung đào tạo kỹ năng cho đội ngũ lãnh đạo và nhân viên để nâng cao hiệu quả hoạt động toàn tập đoàn Nhờ đó, việc điều hành hoạt động của HIPT sẽ thuận lợi hơn, đạt được hiệu quả cao hơn trong công tác quản trị.

❖ Đại hội đồng cổ đông

Các cổ đông có quyền biểu quyết là đơn vị có thẩm quyền cao nhất của công ty, chịu trách nhiệm quyết định tỷ lệ trả cổ tức hàng năm và phê chuẩn báo cáo tài chính năm Họ cũng tổ chức bầu và bãi nhiệm HĐQT, BKS, đồng thời có quyền bổ sung và sửa đổi điều lệ công ty Ngoài ra, cổ đông quyết định về loại và số lượng cổ phần đăng ký giao dịch, cũng như các quyết định liên quan đến sáp nhập, chuyển đổi, tổ chức lại hoặc giải thể công ty.

Là cơ quan hoạch định chiến lược, kế hoạch triển khai chiến lược phát triển, tổ chức, nhân lực, tài chính và thương hiệu của Tập đoàn HIPT

Đại hội đồng cổ đông (ĐHĐCĐ) bầu ra ban kiểm soát gồm 3 thành viên, có nhiệm vụ kiểm soát hoạt động kinh doanh và báo cáo tài chính của công ty Ban kiểm soát hoạt động độc lập hoàn toàn với hội đồng quản trị (HĐQT) và bộ máy điều hành của Ban Tổng Giám đốc, đảm bảo tính trung lập và khách quan trong việc giám sát doanh nghiệp.

❖ Công ty Cổ phần Tập đoàn HIPT – Công ty mẹ

Hệ thống này trực tiếp tư vấn, đề xuất và xây dựng các chiến lược phát triển, kế hoạch kinh doanh, truyền thông để trình Hội đồng Quản trị phê duyệt Nó còn thực hiện các công tác nghiên cứu, đàm phán, xúc tiến thương mại nhằm hỗ trợ hoạt động sản xuất kinh doanh của Tập đoàn HIPT Ngoài ra, hệ thống chịu trách nhiệm thực thi các chiến lược đã được phê duyệt và điều hành hoạt động hàng ngày của các hệ thống và trung tâm trực thuộc Tập đoàn Đồng thời, nó giám sát, hỗ trợ và đảm bảo hoạt động kinh doanh hàng ngày của các công ty thành viên do Tập đoàn HIPT sở hữu.

❖ Ban tổ chức nhân sự

Tổ chức bộ máy nhân sự hoạt động dựa trên chức năng nhiệm vụ đã được quy định rõ ràng, đảm bảo sự phối hợp hiệu quả với các đơn vị và phòng ban trong công tác hoạch định nguồn nhân lực Các hoạt động chính bao gồm thiết kế và thực hiện các chương trình thu hút nhân lực chất lượng, xây dựng các kế hoạch đào tạo và phát triển nhân viên phù hợp với mục tiêu của tổ chức Ngoài ra, tổ chức cũng tập trung vào hoạch định và triển khai các chính sách quản trị nguồn nhân lực nhằm nâng cao hiệu quả hoạt động và duy trì mối quan hệ lao động ổn định, bền vững.

❖ Ban trợ lý tổng hợp

Thực hiện các nghiệp vụ thư ký, trợ lý hỗ trợ hoạt động quản trị và điều hành của Ban Lãnh đạo cấp cao Tập đoàn Kịp thời tư vấn, tham mưu cho Ban Lãnh đạo các vấn đề liên quan đến phạm vi hoạt động của Ban, đảm bảo quá trình ra quyết định diễn ra hiệu quả và chính xác Các nhiệm vụ này giúp nâng cao hiệu suất quản lý, thúc đẩy sự phát triển bền vững của tập đoàn.

❖ Ban truyền thông (Quan hệ công chúng)

Kết quả hoạt động của Công ty Cổ phần Tập đoàn HIPT trong những năm gần đây

1.3.1 Kết quả hoạt động kinh doanh

Bảng 1.6: Báo cáo kết quả hoạt động kinh doanh Đơn vị: tỷ đồng

6 Chi phí quản lý doanh nghiệp

7 Doanh thu hoạt động tài chính

- 26,9 ( Nguồn: Báo cáo tài chính Tập đoàn HIPT )

Từ kết quả kinh doanh, có thể thấy rằng từ năm 2007 đến 2009, lợi nhuận của Công ty liên tục tăng, đạt 62,5 tỷ đồng, thể hiện sự phát triển tích cực trong giai đoạn này Tuy nhiên, từ năm 2009 đến 2011, lợi nhuận lại có xu hướng giảm mạnh, với năm 2010 chỉ còn 18 tỷ đồng, giảm 44,5 tỷ đồng so với năm 2009, tương ứng giảm 71,2% Đặc biệt, năm 2011, lợi nhuận không chỉ giảm mà còn chuyển thành lỗ, với số lỗ lên tới 26,9 tỷ đồng, phản ánh những khó khăn tài chính nghiêm trọng của Công ty trong giai đoạn này.

Hình 1.6: Tổng mức lợi nhuận của HIPT trong những năm qua Đơn vị: tỷ đồng

(Nguồn: Báo cáo tài chính Tập đoàn HIPT)

Nguyên nhân dẫn tới những điều trên có thể là do:

Tổng doanh thu của công ty có mối quan hệ trực tiếp với tổng mức lợi nhuận, nghĩa là khi doanh thu tăng, lợi nhuận cũng sẽ tăng theo Việc duy trì hoặc tăng doanh thu là yếu tố quyết định đến khả năng đạt được lợi nhuận cao hơn cho doanh nghiệp Do đó, doanh thu và lợi nhuận luôn song hành cùng nhau, phản ánh hiệu quả kinh doanh của công ty.

Hình 1.7: Biểu đồ tăng trưởng doanh thu của HIPT Đơn vị: tỷ đồng

( Nguồn : Báo cáo kết quả hoạt động kinh doanh)

Nhìn vào hình 1.7 trên ta có thể thấy: Tổng doanh thu liên tục tăng trong vòng

Từ năm 2000 đến 2009, doanh thu và lợi nhuận của doanh nghiệp có xu hướng tăng trưởng đều đặn, phản ánh mối quan hệ thuận chiều giữa tổng doanh thu và tổng lợi nhuận Tuy nhiên, từ năm 2009 đến 2011, doanh thu giảm sút, cho thấy sự ảnh hưởng tiêu cực đến lợi nhuận Để khắc phục tình hình này, doanh nghiệp cần áp dụng các giải pháp như mở rộng quy mô kinh doanh, tăng giá bán, và mở rộng thị phần nhằm thúc đẩy doanh thu và nâng cao lợi nhuận.

Các khoản giảm trừ như chiết khấu, giảm giá bán và hàng bị trả lại có mối quan hệ nghịch với tổng mức lợi nhuận, làm giảm lợi nhuận khi các khoản này tăng lên Việc áp dụng chiết khấu hoặc giảm giá nhằm thúc đẩy tiêu thụ nhanh chóng và khuyến khích khách hàng sử dụng sản phẩm, nhưng mức giảm giá càng lớn thì lợi nhuận càng giảm Do đó, doanh nghiệp cần xây dựng các biện pháp kết hợp hài hòa giữa việc kích thích tiêu thụ và duy trì tổng mức lợi nhuận không bị giảm đáng kể về quy mô.

Giá vốn hàng bán là yếu tố quan trọng ảnh hưởng trực tiếp đến tổng lợi nhuận của Công ty Trong giai đoạn từ năm 2007 đến 2009, giá vốn hàng bán liên tục tăng, kéo theo mức lợi nhuận tăng mạnh nhất trong giai đoạn này Tuy nhiên, từ năm 2009 đến 2011, giá vốn hàng bán giảm đã làm giảm đáng kể tổng lợi nhuận, đặc biệt là từ năm 2009 đến 2010, cùng với đó là khoản giảm 110,7 tỷ đồng Do đó, việc kiểm soát và giảm giá vốn hàng bán giúp Công ty tiết kiệm chi phí, từ đó thúc đẩy tăng trưởng lợi nhuận một cách hiệu quả.

Chi phí bán hàng bao gồm các khoản chi phí liên quan trực tiếp đến quá trình tiêu thụ sản phẩm như chi phí bốc xếp, vận chuyển, bao bì, đóng gói, bảo quản và tiền lương nhân viên bán hàng Việc giảm thiểu chi phí bán hàng sẽ giúp tăng tổng lợi nhuận của công ty, do đó, doanh nghiệp cần chủ động tìm mọi biện pháp để tối ưu hóa và giảm các chi phí này nhằm nâng cao hiệu quả kinh doanh.

Chi phí bán hàng, chi phí tài chính và chi phí quản lý doanh nghiệp đều ảnh hưởng đáng kể đến tổng lợi nhuận của công ty Để nâng cao kết quả hoạt động kinh doanh, công ty cần triển khai các biện pháp giảm thiểu các khoản chi phí này tối đa có thể Năm 2011, công ty gặp phải khoản lỗ lớn do các loại chi phí liên quan quá cao, đặc biệt là chi phí bán hàng và chi phí quản lý doanh nghiệp Việc điều chỉnh, kiểm soát chặt chẽ các loại chi phí này là yếu tố cần thiết để cải thiện lợi nhuận và nâng cao hiệu quả hoạt động trong các năm tiếp theo.

Lợi nhuận từ hoạt động tài chính và các hoạt động khác ảnh hưởng đáng kể đến tổng lợi nhuận của Công ty; khi các lợi nhuận này tăng, tổng lợi nhuận cũng tăng và ngược lại Theo bảng 1.6, lợi nhuận từ hoạt động khác liên tục ghi nhận âm từ năm 2008 đến 2010, cho thấy chi phí bỏ ra vượt quá thu nhập thu được Công ty cần xem xét lại các hoạt động này để xác định tính cần thiết, và nếu không cần thiết, có thể cắt giảm để tránh thiệt hại, qua đó nâng cao tổng lợi nhuận.

Thuế thu nhập doanh nghiệp là phần lợi nhuận doanh nghiệp phải nộp vào ngân sách Nhà nước theo tỷ lệ phần trăm quy định, ảnh hưởng trực tiếp đến lợi nhuận của doanh nghiệp Khi tỷ lệ thuế thu nhập doanh nghiệp tăng cao, lợi nhuận của doanh nghiệp giảm xuống Thực tế cho thấy, thuế thu nhập doanh nghiệp liên tục tăng từ năm 2007 đến nay, tác động đáng kể đến hoạt động kinh doanh của các doanh nghiệp trong nước.

1.3.2 Những kết quả khác a) Nguồn vốn kinh doanh của HIPT

Bảng 1.7: Nguồn vốn kinh doanh của HIPT

Tỷ lệ % các vốn trên tổng vốn (%)

( Nguồn: Bảng cân đối kế toán ) Nhìn vào bảng trên ta thấy: Nguồn vốn kinh doanh của HIPT liên tục tăng từ năm

Từ năm 2007 đến 2009, quy mô kinh doanh của Công ty càng được mở rộng rõ rệt Tuy nhiên, từ năm 2009 đến 2010, tổng nguồn vốn giảm do vốn cố định của Công ty giảm xuống Đến năm 2011, tổng nguồn vốn tăng nhưng chỉ tăng thêm 7 tỷ đồng, với tỷ lệ vốn lưu động trên tổng vốn duy trì trên 50% nhưng liên tục giảm từ 2007 đến 2010 Năm 2011, tỷ lệ vốn lưu động trên tổng vốn có xu hướng cải thiện nhưng chỉ tăng 0,57% Trong khi đó, tỷ lệ vốn cố định trên tổng vốn tăng từ 2007 đến 2009 do đầu tư vào trang thiết bị và bất động sản, nhưng xu hướng này giảm từ năm 2009 trở lại, cho thấy Công ty cần chú trọng cân đối các nguồn vốn để nâng cao hiệu quả hoạt động kinh doanh Phản hồi từ khách hàng về sản phẩm, dịch vụ của HIPT cũng thể hiện mức độ hài lòng và tin tưởng ngày càng tăng, góp phần thúc đẩy sự phát triển bền vững của Công ty.

Khách hàng là người sử dụng sản phẩm, dịch vụ của công ty và đóng vai trò quan trọng trong việc tạo ra doanh thu, đảm bảo sự tồn tại và phát triển của doanh nghiệp Without khách hàng, doanh nghiệp không thể duy trì hoạt động, phát triển và đạt được mục tiêu kinh doanh Vì vậy, khách hàng đóng vai trò trung tâm trong chiến lược kinh doanh của mọi công ty, đóng góp vào thành công lâu dài của doanh nghiệp.

Các công ty luôn cố gắng làm hài lòng khách hàng về cả vật chất lẫn tinh thần Việc thu thập ý kiến đánh giá của khách hàng đóng vai trò quan trọng trong việc nâng cao chất lượng dịch vụ và đáp ứng tốt hơn nhu cầu khách hàng Dưới đây là những ý kiến đánh giá của khách hàng về sản phẩm và dịch vụ của HIPT năm 2011, phản ánh sự hài lòng cũng như các lĩnh vực cần cải thiện.

Bảng 1.8: Tỷ lệ số phản hồi nhận được trên tổng số phiếu phát hành

Chỉ tiêu Số lượng khách hàng Tỷ lệ khách hàng Đã phản hồi 30 81,1%

(Nguồn: Báo cáo Survey khách hàng Tập đoàn HIPT năm 2011)

Hình 1.8: Đánh giá chung của khách hàng về Giải pháp và thiết bị HIPT cung cấp và 8 tiêu chí cụ thể

Rất kém Chưa đạt Trung bình Tốt Rất tốt

(Nguồn: Báo cáo kết quả Survey khách hàng Tập đoàn HIPT năm 2011)

Các tiêu chí đánh giá bao gồm: Tổng quan về giải pháp và thiết bị của HIPT, thời gian đáp ứng tiến độ công việc phù hợp, chất lượng sản phẩm và dịch vụ đã cung cấp, năng lực và kinh nghiệm của đội ngũ triển khai dự án, khả năng xử lý kịp thời các vấn đề phát sinh trong dự án, chất lượng các tài liệu dự án được cung cấp, việc chuyển giao công nghệ và đào tạo đáp ứng các yêu cầu, trách nhiệm và thái độ của đội ngũ triển khai dự án, cũng như khả năng thiết lập và duy trì mối quan hệ tốt với khách hàng.

Dựa vào biểu đồ, tiêu chí "2 Thời gian đáp ứng theo tiến độ" và "5 Các vấn đề phát sinh trong dự án"Receiving the poorest evaluations, with 10% khách hàng đánh giá là Rất kém hoặc Chưa đạt Ngoài ra, hai tiêu chí bị xếp hạng mức độ trung bình và dưới trung bình nhiều nhất là [các tiêu chí liên quan], cho thấy cần cải thiện chất lượng dịch vụ và quản lý dự án để nâng cao sự hài lòng của khách hàng.

Khách hàng đánh giá cao về chất lượng giải pháp và thiết bị HIPT cung cấp, phản ánh qua tiêu chí “Đánh giá về giải pháp và thiết bị HIPT cung cấp” Đồng thời, mức độ hài lòng về chất lượng các tài liệu dự án cũng nhận được sự ghi nhận tích cực Trong các tiêu chí đánh giá, “Trách nhiệm và thái độ của đội ngũ triển khai dự án” được khách hàng nhận xét tốt và rất tốt với tỷ lệ lên tới 86,7%, thể hiện sự chuyên nghiệp và tận tâm trong quá trình thực hiện dự án.

ĐỀ XUẤT ÁP DỤNG HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001:2008 TẠI CÔNG TY CỔ PHẦN TẬP ĐOÀN HIPT

Thực trạng quản lý an toàn thông tin tại Công ty

2.1.1 Thực trạng quản lý an toàn thông tin tại Tập đoàn HIPT

ISO 17799:2005 định nghĩa thông tin là một loại tài sản có giá trị cao tồn tại dưới nhiều hình thức, cần được bảo vệ để đảm bảo hoạt động kinh doanh liên tục và giảm thiểu thiệt hại Mục đích của hệ thống quản lý an toàn thông tin là bảo vệ tài sản này, giúp tối đa hóa lợi nhuận từ các khoản đầu tư vào an ninh thông tin Theo tiêu chuẩn ISO 9001:2008, an toàn thông tin bao gồm duy trì tính bí mật, toàn vẹn và tính sẵn sàng của thông tin, đồng thời có thể bao hàm các đặc tính khác như xác thực, kiểm soát và tin cậy.

An toàn thông tin đóng vai trò thiết yếu trong thời đại công nghệ phát triển, bắt đầu từ năm 1985 khi các mối đe dọa về virus máy tính xuất hiện, gây ra thiệt hại về dữ liệu và hiệu suất hệ thống Trong giai đoạn từ 1985 đến 1995, sự xuất hiện của các phần mềm giả mạo và virus xâm nhập đã làm giảm độ chính xác của dữ liệu, gây mất uy tín cho các nhà phát triển phần mềm Tình hình trở nên nghiêm trọng hơn khi các loại virus ảnh hưởng đến mạng internet, ăn cắp dữ liệu qua email giả mạo, thay đổi thông tin trên website, gây thiệt hại lớn cho cá nhân và tổ chức Từ năm 2000 trở đi, các nguy cơ về mất an toàn thông tin tiếp tục gia tăng với hệ thống băng thông rộng, virus phức tạp, các email lừa đảo nhằm trộm cắp tài khoản, mật khẩu và dữ liệu ngân hàng Ngoài ra, các phần mềm gián điệp và các hình thức tấn công mạng ngày càng phổ biến, như trong tháng 6/2011 tại Việt Nam có hơn 450 website bị hacker xâm nhập, với hàng nghìn máy tính nhiễm virus mới, điển hình như virus W32.Sality.PE lây nhiễm cho hơn 481.000 máy, cho thấy tầm quan trọng của việc đảm bảo an toàn thông tin trong thời kỳ số hóa hiện nay.

Bảng 2.1: Tình hình virus và an ninh mạng tháng 6 năm 2011

Virus máy tính ( tại Việt Nam) Số lượng

Số máy tính bị nhiễm virus 6.955.000

Số dòng virus mới xuất hiện trong tháng 3.690

Virus lây lan nhiều nhất: W32.Sality.PE 481.000

An ninh mạng (tại Việt Nam) Số lượng Theo quan sát của Bkav:

Số website Việt Nam bị hacker trong nước tấn công 0

Số website Việt Nam bị hacker nước ngoài tấn công 450

(Nguồn: Cách chống lại những cuộc tấn công mạng, www.vtc.vn)

Bảng 2.2: Danh sách 10 virus lây nhiều nhất trong tháng 06/2011

10 X97M.XFSic (Nguồn: Cách chống lại những cuộc tấn công mạng, www.vtc.vn)

Trong bối cảnh các cuộc tấn công mạng ngày càng phổ biến, việc sử dụng gián điệp để thu thập thông tin bí mật gây ảnh hưởng nghiêm trọng đến tài sản, uy tín của cá nhân, tổ chức và đất nước Chính vì vậy, đảm bảo an toàn thông tin trở nên vô cùng quan trọng, đòi hỏi phải duy trì ba đặc tính cốt lõi của thông tin là tính bí mật, tính toàn vẹn và tính sẵn sàng Những đặc tính này đề cao vai trò của toàn bộ hệ thống an toàn thông tin và phù hợp với mọi tổ chức, bất kể phương thức chia sẻ dữ liệu như thế nào.

Tính bí mật là yếu tố quan trọng trong đảm bảo thông tin không công khai đối với các cá nhân, tổ chức và tiến trình không được phép truy cập Giải pháp an toàn cho hệ thống CNTT bao gồm các quy tắc kiểm soát quyền truy cập nhằm hạn chế người dùng tiếp cận đúng loại thông tin và tài sản nhất định Trong kiểm soát truy cập cục bộ, việc xác định ai được phép truy cập dữ liệu giúp bảo vệ tính bí mật của hệ thống Đảm bảo tính bí mật giúp loại bỏ truy cập trái phép, giữ gìn các khu vực độc quyền của cá nhân và tổ chức, là yếu tố then chốt trong an ninh thông tin.

Tính toàn vẹn của thông tin là đặc tính đảm bảo chính xác, đầy đủ và không bị sửa đổi Nó phản ánh chất lượng của dữ liệu dựa trên độ xác thực và mức độ gần thực tế Để duy trì tính toàn vẹn, cần triển khai các biện pháp đồng bộ nhằm đảm bảo tính thời sự, đầy đủ, trọn vẹn cùng với việc bảo mật hợp lý của thông tin.

Tính sẵn sàng của thông tin là một đặc tính quan trọng trong an toàn thông tin, đảm bảo thông tin đến đúng địa chỉ và sẵn sàng khi có nhu cầu hoặc yêu cầu Nó đảm bảo mọi thực thể được phép truy cập và sử dụng thông tin một cách ổn định, đáng tin cậy Tính sẵn sàng còn đóng vai trò là thước đo xác định phạm vi an toàn của hệ thống thông tin, góp phần duy trì hoạt động liên tục của hệ thống.

Tình hình bảo mật thông tin tại Tập đoàn HIPT hiện nay có những mặt tốt như đảm bảo tốt tính bí mật và tính toàn vẹn của thông tin, tuy nhiên còn hạn chế về tính sẵn sàng Để đảm bảo an toàn thông tin, cần tập trung khắc phục các điểm yếu liên quan đến tính sẵn sàng của hệ thống Việc duy trì tính bí mật, toàn vẹn và sẵn sàng là yếu tố then chốt để nâng cao khả năng bảo vệ dữ liệu tại HIPT Hiện tại, đặc tính sẵn sàng của thông tin tại HIPT gần như chưa được triển khai hiệu quả, gây ra những rủi ro trong quá trình vận hành và quản lý dữ liệu Do đó, công tác cải thiện tính sẵn sàng là mục tiêu hàng đầu để nâng cao an toàn thông tin toàn diện cho tập đoàn.

Mặc dù thông tin nhận được có độ chính xác cao, nhưng thiếu sự đầy đủ và kịp thời cần thiết cho các hoạt động kinh doanh của công ty, do việc tập hợp dữ liệu lên server chưa hoàn thiện, gây ra nhiều sự cố mạng và ảnh hưởng đến quá trình cập nhật thông tin Các quy trình chất lượng đã được chỉnh sửa và duyệt đều chậm trễ trong việc đưa lên server mà không có thông báo chính thức, khiến các phòng ban gặp khó khăn trong việc cập nhật và sử dụng phiên bản mới đúng quy định Việc sắp xếp dữ liệu thiếu trình tự thống nhất làm người dùng khó tra cứu tài liệu, chính sách và các văn bản liên quan, gây ảnh hưởng đến hiệu quả công việc Ngoài ra, những luật mới và tài liệu quan trọng chưa được cập nhật đầy đủ trên trang thông tin chung của công ty, dẫn đến nhầm lẫn và khó thực hiện theo đúng quy định đã công bố.

Mặc dù hệ thống bảo mật thông tin của Công ty khá tốt, nhưng chưa có một hệ thống quản lý an toàn thông tin chung và chính thức từ Tập đoàn tới các công ty con, gây khó khăn trong việc thực hiện và kiểm soát Việc thiếu các văn bản hướng dẫn và chính sách rõ ràng khiến nhân viên hiểu sai hoặc không thống nhất trong cách thực hiện các quy trình bảo mật thông tin, ảnh hưởng đến khả năng quản lý và kiểm soát của ban lãnh đạo Thiếu hệ thống tài liệu chuẩn như tiêu chuẩn ISO 9001 cũng làm giảm khả năng xác định mục tiêu rõ ràng, dẫn đến sự chệnh lệch trong hoạt động và khó kiểm soát chất lượng Điều này gây ra nguy cơ sai sót trong quá trình làm việc, làm giảm khả năng giám sát hiệu quả và ảnh hưởng đến sự tin tưởng của khách hàng, đặc biệt là khách hàng quốc tế Không có hệ thống quản lý an toàn thông tin đồng bộ còn làm giảm khả năng xây dựng lòng tin từ phía khách hàng và đối tác, gây khó khăn trong việc kiểm soát hoạt động và đảm bảo an toàn thông tin của khách hàng khi sử dụng sản phẩm, dịch vụ của Công ty.

Về vấn đề bảo mật thông tin, dù đã có sự phân cấp theo mức độ bảo mật, nhưng việc xác định chính xác và nghiêm túc các cấp độ này vẫn còn chưa được thực hiện đúng quy trình Tại Tập đoàn HIPT, các loại thông tin được phân chia thành 4 mức độ bảo mật gồm: tuyệt mật, bảo mật, nội bộ và phổ biến, nhằm tăng cường hiệu quả quản lý và bảo vệ dữ liệu quan trọng.

Bảng 2.3: Cách đánh giá mức độ bảo mật tại Tập đoàn HIPT

Mức độ bảo mật Mô tả

Thông tin quan trọng cần hạn chế truy cập để đảm bảo an toàn và bảo mật Khi cần tiếp cận các thông tin này, yêu cầu sự đồng ý của Tổng Giám đốc đối với dữ liệu cấp tập đoàn và của Giám đốc đơn vị đối với dữ liệu cấp đơn vị Việc kiểm soát truy cập đảm bảo rằng chỉ những người có thẩm quyền mới được phép tiếp cận thông tin nhạy cảm, tăng cường bảo vệ tài sản thông tin của tổ chức.

Thông tin quan trọng liên quan đến hoạt động của Công ty được phân quyền để một số thành viên truy cập thường xuyên, nhằm đảm bảo hiệu quả vận hành Các nhu cầu truy cập bổ sung vào dữ liệu này yêu cầu sự phê duyệt từ Tổng giám đốc hoặc Trưởng các đơn vị/bộ phận, nhằm tổ chức kiểm soát và bảo mật thông tin tốt nhất.

Thông tin chung có thể phổ biến tới toàn bộ cán bộ của công ty, đảm bảo luôn sẵn sàng để truy cập khi cần thiết, giúp nâng cao sự hiểu biết và kịp thời cập nhật các thông tin quan trọng trong nội bộ doanh nghiệp.

Phổ biến Là những thông tin có thể phổ biến tới tất cả các cá nhân hoặc tổ chức trong và ngoài Tập đoàn

(Nguồn: Hệ thống tài liệu Tập đoàn HIPT)

Mặc dù đã có cách đánh giá mức độ bảo mật thông tin của Công ty, nhưng nhiều hồ sơ, tài liệu vẫn bị phân loại sai cách và sử dụng không đúng quy trình Ví dụ, thông tin nội bộ cần được phê duyệt của trưởng bộ phận trước khi chia sẻ ra bên ngoài, nhưng tại HIPT, nhiều thông tin này vẫn được sao chép và truyền ra bên ngoài qua máy tính cá nhân của nhân viên mà chưa có sự phê duyệt Việc quản lý bảo mật nội bộ chưa được thực hiện nghiêm ngặt, thiếu quy trình rõ ràng và quy định xử lý đối với vi phạm, gây ra nguy cơ mất an toàn thông tin cho Công ty.

Công ty nhận thức rõ về các rủi ro có thể xảy ra và đã chủ động xây dựng các biện pháp khắc phục kịp thời nhằm ứng phó hiệu quả với các trường hợp rò rỉ thông tin nội bộ và dữ liệu quan trọng liên quan đến hoạt động kinh doanh.

Sự cần thiết của việc áp dụng tiêu chuẩn ISO 27001:2008 tại Công ty

2.2.1 Tầm quan trọng của hệ thống quản lý an toàn thông tin

Hiện nay, an ninh mạng trở thành vấn đề cấp thiết của toàn xã hội, đặc biệt khi các cuộc tấn công mạng ngày càng gia tăng, gây ảnh hưởng lớn đến các cơ quan nhà nước và người dùng Trong bối cảnh này, Bộ trưởng Bộ Bưu chính Viễn thông đã ban hành Chỉ thị số 03/2007/CT-BBCVT nhằm tăng cường đảm bảo an ninh thông tin trên mạng internet, phù hợp với các luật về an toàn thông tin đã được quy định Nhiều trang thông tin điện tử của Việt Nam sử dụng tên miền quốc tế gặp phải các vấn đề như mất truy cập, chuyển hướng, virus và thư rác, trong đó các mạng dùng IP của Việt Nam bị cấm kết nối quốc tế do phát tán virus và thư rác Việc áp dụng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2008 giúp tổ chức tuân thủ các quy định của nhà nước về an ninh mạng, góp phần nâng cao hiệu quả bảo vệ dữ liệu và hệ thống thông tin.

❖ Cho phép lãnh đạo quản lý dễ dàng hơn

Hệ thống Quản lý An toàn Thông tin (ISMS) theo tiêu chuẩn ISO 27001:2008 tiếp cận dựa trên quá trình, bao gồm các hoạt động, bước triển khai, quy định rõ ràng cho từng công đoạn và người chịu trách nhiệm, tất cả đều được ghi chép và lưu trữ để hỗ trợ Ban lãnh đạo quản lý hiệu quả Việc này giúp xác định nguyên nhân rò rỉ thông tin nhanh chóng và thực hiện các biện pháp xử lý phù hợp theo chính sách bảo mật của công ty Ví dụ, ISO 27001:2008 quy định rõ về quản lý máy tính của nhân viên, từ đó có thể xác định nguồn rò rỉ dữ liệu từ thiết bị nào và thiệt hại liên quan, đồng thời đưa ra các biện pháp xử lý và xử phạt cụ thể đối với nhân viên vi phạm.

❖ Đưa ra những điểm hạn chế mà cần phải có giải pháp khắc phục

Khi áp dụng ISMS theo tiêu chuẩn ISO 27001:2008, công ty sẽ thực hiện xác định, đánh giá các rủi ro và các mối đe dọa tiềm ẩn Nhờ đó, doanh nghiệp có thể đề xuất các biện pháp khắc phục hoặc giảm thiểu thiệt hại do các rủi ro này gây ra Việc đánh giá rủi ro còn giúp công ty nhận diện các hạn chế trong hệ thống quản lý an toàn thông tin của mình để cải thiện và phòng ngừa các mối đe dọa trước khi chúng xảy ra.

❖ Đảm bảo công ty có một hệ thống quản lý chung

Khi xây dựng và áp dụng ISMS theo tiêu chuẩn ISO 27001:2008, công ty cần phát triển một hệ thống tài liệu chung về các quy trình và chính sách liên quan đến bảo mật thông tin, tương tự như hệ thống tài liệu của quản lý chất lượng theo ISO 9001:2008 Hệ thống này sẽ được ban hành và áp dụng cho tất cả các hoạt động của công ty liên quan đến bảo mật thông tin, yêu cầu mọi nhân viên tuân thủ các quy định, quy trình và chính sách do bộ tài liệu này ban hành Đây chính là dạng văn bản hóa của hệ thống quản lý toàn diện của tập đoàn, bắt buộc mọi thành viên phải thực hiện và áp dụng để đảm bảo tính nhất quán và hiệu quả trong quản lý an ninh thông tin.

❖ Ngăn ngừa vi phạm pháp luật

Hiện nay, nhiều trang web của các công ty đang phải đối mặt với các cuộc tấn công từ hacker nhằm lấy cắp thông tin và truyền tải nội dung tiêu cực lên trang chủ, gây ảnh hưởng nghiêm trọng đến uy tín của doanh nghiệp Đồng thời, nhiều tài liệu nội bộ của công ty đã bị rò rỉ ra mạng xã hội hoặc bán cho đối thủ cạnh tranh, vi phạm nghiêm trọng quy định về an toàn thông tin Việc tuân thủ bộ tiêu chuẩn ISO 27001:2008 không chỉ giúp doanh nghiệp đảm bảo an toàn thông tin theo quy định của pháp luật mà còn phòng tránh nguy cơ bị "đánh cắp" dữ liệu và bảo vệ danh tiếng doanh nghiệp hiệu quả.

Nhờ đó, chúng ta có thể ngăn chặn sự phát triển mạnh mẽ của tội phạm mạng và phòng chống các hành vi vi phạm pháp luật về an toàn thông tin tại Việt Nam, đảm bảo an ninh mạng hiệu quả.

❖ Định hướng tăng cường lựa chọn các giải pháp an ninh

Triển khai ISMS theo tiêu chuẩn ISO 27001:2008 giúp công ty phân tích và đánh giá các rủi ro mất an toàn thông tin, từ đó đề xuất các giải pháp kiểm soát hiệu quả Áp dụng ISMS giúp doanh nghiệp phát hiện nhiều giải pháp tối ưu cho các vấn đề an ninh, đồng thời tích lũy kinh nghiệm trong việc xử lý các rủi ro về mất an toàn thông tin Công ty luôn duy trì tư duy sáng tạo trong việc đảm bảo an toàn thông tin, kể cả khi hệ thống đang hoạt động tốt, bằng cách xây dựng các phương án dự phòng cho các tình huống bất ngờ Việc tập trung tìm ra các giải pháp đảm bảo an toàn thông tin một cách hiệu quả là yếu tố then chốt trong quá trình quản lý an ninh mạng.

2.2.2 Lợi ích khi có ISMS

❖ Giảm thiểu được các rủi ro về bảo mật thông tin

Nguyên tắc của ISO 27001 tập trung vào việc liệt kê và xác định tất cả các rủi ro về an ninh thông tin có thể xảy ra trong doanh nghiệp Điều này giúp doanh nghiệp đánh giá chính xác các mối đe dọa và đưa ra các biện pháp kiểm soát phù hợp để giảm thiểu rủi ro tối đa Từ nguyên tắc này, rõ ràng rằng lợi ích của việc áp dụng hệ thống quản trị an ninh thông tin theo tiêu chuẩn ISO 27001:2008 chính là giảm thiểu các rủi ro về bảo mật thông tin, nâng cao khả năng phòng ngừa và ứng phó với các sự cố an ninh mạng.

Hình thành ý thức nhận biết, lập kế hoạch và xử lý rủi ro cho công ty là yếu tố then chốt để duy trì hoạt động an toàn Việc chủ động trước các rủi ro, tác động tiềm ẩn về sự cố an toàn thông tin giúp công ty kiểm soát tốt hơn các tình huống khẩn cấp và giảm thiểu thiệt hại Đặt công ty ở thế chủ động trong quản lý rủi ro an toàn thông tin đảm bảo sự ổn định và bảo vệ tối đa cho dữ liệu và hệ thống của doanh nghiệp.

Khi triển khai ISMS, mọi nhân viên trong công ty đều được đào tạo nhận thức về tầm quan trọng của bảo mật thông tin và ý thức đảm bảo an toàn thông tin Nhân viên chủ động xây dựng các chương trình và kế hoạch phù hợp theo quy trình đã được thiết lập, đồng thời tự giác thực hiện các nhiệm vụ liên quan đến bảo mật Công ty thực hiện phân tích, đánh giá rủi ro để xác định các mối đe dọa tiềm ẩn và chủ động đề xuất các giải pháp xử lý nhằm phòng ngừa hoặc giảm thiểu tối đa thiệt hại do các sự cố an ninh thông tin gây ra.

❖ Củng cố năng lực của Công ty khi hội nhập quốc tế

Vấn đề an toàn thông tin ngày càng trở nên cấp thiết, nhận được sự quan tâm từ cả nhà nước và các doanh nghiệp trong nhiều lĩnh vực khác nhau Hiện có hơn 5.600 doanh nghiệp và tổ chức trên toàn thế giới đã xây dựng và áp dụng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001, đồng thời nhận chứng chỉ ISO 27001:2005 Nhiều nhà đầu tư và doanh nghiệp nước ngoài yêu cầu đối tác của họ có chứng chỉ ISO 27001 khi tham gia hợp tác, qua đó thể hiện tầm quan trọng của tiêu chuẩn này trong việc đảm bảo an toàn thông tin trong kinh doanh quốc tế.

Chứng nhận tiêu chuẩn ISO 27001 không chỉ nâng cao uy tín của công ty mà còn thể hiện năng lực của doanh nghiệp khi tham gia vào thị trường quốc tế Việc áp dụng hệ thống tiêu chuẩn quốc tế này giúp công ty xây dựng một hệ thống quản lý an toàn thông tin vững mạnh, nâng cao sự tin tưởng của khách hàng và đối tác Đạt chứng nhận ISO 27001 là minh chứng rõ ràng cho cam kết của doanh nghiệp trong việc bảo vệ dữ liệu và đảm bảo an toàn thông tin, từ đó thúc đẩy sự phát triển bền vững và cạnh tranh trên thị trường toàn cầu.

Công ty sẽ tận dụng các cơ hội phát triển và mở rộng mối quan hệ với khách hàng, đối tác thông qua việc quảng bá hệ thống quản lý an toàn thông tin toàn diện Điều này giúp nâng cao hình ảnh thương hiệu và xây dựng lòng tin vững chắc trong lòng khách hàng và đối tác Việc triển khai hệ thống quản lý an toàn thông tin không chỉ nâng cao năng lực bảo vệ dữ liệu mà còn tạo lợi thế cạnh tranh trên thị trường Quảng bá một hệ thống an toàn thông tin hoàn chỉnh góp phần thúc đẩy sự phát triển bền vững của doanh nghiệp trong môi trường số ngày càng cạnh tranh.

Hiện nay nhiều doanh nghiệp tại Việt Nam đã bắt đầu triển khai hệ thống quản lý an toàn thông tin, nhưng chỉ có một số đạt chứng chỉ ISO 27001:2008, phản ánh khả năng đáp ứng yêu cầu quốc tế Trong bối cảnh Việt Nam hội nhập kinh tế toàn cầu, các nhà đầu tư nước ngoài như Mỹ và Nhật Bản ngày càng đòi hỏi doanh nghiệp có hệ thống quản lý an toàn thông tin hoàn chỉnh để dễ dàng hợp tác và xây dựng uy tín Công ty Cổ phần Hệ thống thông tin FPT-IS là minh chứng tiêu biểu cho thành công trong việc áp dụng ISMS và đạt chứng chỉ ISO 27001:2008, qua đó nâng cao thương hiệu và uy tín trong ngành CNTT Việc sở hữu chứng nhận này giúp FPT-IS thu hút khách hàng và đối tác tin cậy trong lĩnh vực đảm bảo an toàn thông tin, đồng thời tạo lợi thế cạnh tranh mở rộng thị trường và tăng cường mối quan hệ hợp tác Thương hiệu FPT với chứng chỉ này được khách hàng nhanh chóng ghi nhớ, trở thành một trong những yếu tố quyết định khi chọn đối tác về an toàn thông tin, góp phần xây dựng hình ảnh doanh nghiệp chuyên nghiệp và hiệu quả.

Việc nâng cao độ tin cậy của khách hàng đối với các dịch vụ và sản phẩm của Công ty đóng vai trò then chốt trong việc xây dựng uy tín thương hiệu Đồng thời, quá trình này góp phần tạo ra một môi trường làm việc chuyên nghiệp, thúc đẩy sự phát triển bền vững của tổ chức.

Đề xuất triển khai xây dựng và áp dụng ISMS theo tiêu chuẩn ISO 27001:2008 tại Công ty Cổ phần Tập đoàn HIPT

27001:2008 tại Công ty Cổ phần Tập đoàn HIPT

Bảng 2.6: Các giai đoạn triển khai ISMS theo tiêu chuẩn ISO 27001:2008

CÔNG VIỆC THỜI GIAN TRÁCH

1 Cam kết của ban lãnh đạo

Kéo dài trong suốt quá trình thực hiện dự án

TGĐ/PTGĐ, các Giám đốc đơn vị và các trưởng bộ phận Được sự quan tâm và chỉ đạo từ phía lãnh đạo

Thuê tổ chức tư vấn

Kéo dài trong suốt quá trình thực hiện dự án đến khi lấy được chứng chỉ

Ban lãnh đạo, ban QLCL

Thuê được tổ chức tư vấn, chuyên gia tư vấn giỏi cho Công ty

3 Khảo sát thực trạng 40-50 ngày Chuyên gia tư vấn, ban QLCL

Nắm được thực trạng hệ thống quản lý an toàn thông tin tại HIPT, những điểm yếu của hệ thống

4 Lên kế hoạch tổng quát 1-2 ngày Ban QLCL Khái quát các công việc phải làm trong dự án

Thành lập đội dự án ISO

Chuyên gia tư vấn, Ban lãnh đạo (TGĐ, PTGĐ, Các Giám đốc đơn vị, các trưởng phòng/ ban),

Thành lập được đội dự án có 30 người có đầy đủ chuyên môn, kinh nghiệm

Gửi đi đào tạo tại DAS Việt Nam Certificates để hiểu rõ và cách thức áp dụng ISMS theo tiêu chuẩn ISO 27001:2008,

Triển khai 3 khóa đào tạo là đào tạo nhận thức, đào tạo viết tài liệu và đào tạo đánh giá ATTT

Xác định phạm vi áp dụng

Ban lãnh đạo, chuyên gia tư vấn, đội dự án ISO 27001

Xác định được phạm vi áp dụng của ISMS (khuyến nghị áp dụng cho toàn Tập đoàn)

Xác định chính sách, mục tiêu

Có chính sách, mục tiêu ATTT rõ ràng

Thông báo tới toàn thể Công ty

Ban lãnh đạo, đội dự án ISO

Mọi nhân viên trong Công ty đều biết về dự án triển khai ISMS tại Tập đoàn

Tổng hợp các tài liệu có liên quan tới

3-5 ngày Đội dự án ISO

Tạo được một hệ thống tài liệu tham khảo liên quan tới ISMS

II Đánh giá rủi ro

Liệt kê tài sản trong phạm vi

27001, Trưởng các đơn vị/ bộ phận

Bản thống kê tài sản trong phạm vi áp dụng ISMS

2 Định giá tài sản 15-20 ngày

Chuyên gia tư vấn, Đội dự án ISO 27001, Trưởng các đơn vị/ bộ phận

Bản thống kê giá trị tài sản áp dụng ISMS

3 Đánh giá các rủi ro có thể xảy ra

Chuyên gia tư vấn, Đội dự án ISO 27001

Tập hợp được các rủi ro có thể xảy ra đối với tài sản áp dụng ISMS

III Xử lý rủi ro

Tính toán khả năng xảy ra các rủi ro

Chuyên gia tư vấn, đội dự án ISO 27001

Xác suất xảy ra các rủi ro trong tháng, trong năm

Tính toán thiệt hại do rủi ro đó gây ra

Số thiệt hại (qui bằng tiền) do rủi ro gây ra

Biện pháp giảm thiểu các rủi ro

Các giải pháp giảm thiểu rủi ro, đảm bảo ATTT tại HIPT

4 Đánh giá chi phí cho giải pháp và đưa ra quyết định

Chi phí bỏ ra để giảm thiểu các rủi ro về mất ATTT và quyết định thực hiện các biện pháp đó

IV Thiết lập ISMS theo tiêu chuẩn ISO 27001:2008

Suốt quá trình thiết lập ISMS Đội dự án ISO

Biết được các công việc phải làm khi thiết lập ISMS

Chuyên gia tư vấn, Ban lãnh đạo, đội dự án ISO 27001

Nhận thức chung về ISO 27001:2008, hiểu về các yêu cầu của ISO

27001:2008, cách thức xây dựng hệ thống tài liệu về ISMS theo tiêu chuẩn ISO 27001:2008

Soạn thảo các văn bản của

Tập tài liệu về ISMS đáp ứng các yêu cầu của tiêu chuẩn ISO 27001:2008

4 Đầu tư cơ sở hạ tầng 30-40 ngày Ban lãnh đạo Đầy đủ cơ sở vật chất, trang thiết bị để thực hiện quản lý an toàn thông tin

5 Đào tạo nhận thức 5-10 ngày

Chuyên gia tư vấn, đội dự án ISO 27001, nhân viên trong phạm vi áp dụng của ISMS

Nhận thức được tầm quan trọng của bảo mật thông tin, ISMS

V Áp dụng ISMS theo tiêu chuẩn ISO 27001:2008

Ban hành hệ thống tài liệu

Có hệ thống tài liệu ISMS theo tiêu chuẩn ISO 27001:2008 một cách chính thức

Phổ biến, hướng dẫn áp dụng tại Tập đoàn và các đơn vị

Các nhân viên biết áp dụng hệ thống tài liệu vào đơn vị, bộ phận

Thực hiện áp dụng hệ thống tài liệu tại Tập đoàn và các đơn vị

Các phòng/ ban tại Tập đoàn và các đơn vị Đảm bảo an toàn thông tin tại HIPT

4 Đào tạo đánh giá nội bộ về

Cung cấp kiếm thức và kỹ năng cần thiết cho cán bộ làm công tác đánh giá ATTT

Lập kế hoạch và tiến hành đánh giá nội bộ

Chuyên gia tư vấn, Đội dự án ISO 27001, đánh giá viên nội bộ

Kiểm tra vận hành của ISMS trên thực tế và đánh giá sự không phù hợp của các công việc cũng như hệ thống tài liệu

Khắc phục các điểm chưa phù hợp, cải tiến và hoàn thiện

Phụ thuộc vào tình hình thực tế Đội dự án ISO

Hoàn thiện ISMS để đảm bảo ATTT

VI Chuẩn bị đánh giá

Lựa chọn cơ quan chứng nhận

Chuyên gia tư vấn, ban lãnh đạo, đội dự án ISO 27001

Chọn được tổ chức chứng nhận uy tín (khuyến nghi lựa chọn TUV Rheinland Việt Nam)

2 Đánh giá trước chứng nhận

Xác định mức độ sẵn sàng của ISMS

Chuẩn bị đánh giá chứng nhận

Chuẩn bị kỹ lưỡng để khắc phục các điểm không phù hợp của đợt đánh giá trước chứng nhận ISO 27001, đảm bảo tất cả các vấn đề đã được xử lý rõ ràng Sẵn sàng các tài liệu cần thiết để phục vụ cho đợt đánh giá chính thức, giúp quá trình đánh giá diễn ra suôn sẻ và hiệu quả Đăng ký chứng nhận ISO 27001 sẽ nâng cao độ tin cậy của hệ thống quản lý bảo mật thông tin của doanh nghiệp, thể hiện cam kết tuân thủ các tiêu chuẩn quốc tế về an ninh thông tin.

VII Đánh giá chứng nhận

1 Đánh giá sơ bộ 1-2 ngày

Tổ chức chứng nhận (TUV Rheinland Việt Nam)

Báo cáo kết quả sơ bộ, kiến nghị cấp giấy chứng nhận

2 Đánh giá chứng nhận 2-4 ngày

Tổ chức chứng nhận (TUV Rheinland Việt Nam)

Báo cáo kết quả chi tiết, kiến nghi cấp giấy chứng nhận

Khắc phục những điểm không phù hợp (nếu có)

Phụ thuộc vào kết quả đánh giá của TUV

Hồ sơ về hành động khắc phục để gửi tới tổ chức chứng nhận TUV

Sau đánh giá chứng nhận

Tổ chức chứng nhận (TUV)

Có chứng chỉ ISO 27001:2008 về hệ thống quản lý an toàn thông tin, được thừa nhận trên toàn cầu

VIII Duy trì và cải tiến liên tục

Tiếp tục áp dụng và cải tiến ISMS theo tiêu chuẩn ISO

Suốt thời gian hoạt động kinh doanh của HIPT

Hệ thống quản lý an toàn thông tin ngày càng được hoàn thiện và vận hành hiệu quả

(Nguồn: Tác giả tự xây dựng)

Bảng 2.7: Thời gian triển khai ISMS đến khi nhận được chứng chỉ ISO 27001

STT Giai đoạn Thời gian (ngày)

4 Thiết lập ISMS theo tiêu chuẩn ISO 27001:2008 145 – 200

5 Áp dụng ISMS theo tiêu chuẩn ISO 27001:2008 81 – 116

(Nguồn: Tác giả tự xây dựng)

Thời gian thực hiện dự án xây dựng và triển khai ISMS theo tiêu chuẩn ISO 27001:2008 dự kiến từ 482 đến 667 ngày Tuy nhiên, thời gian này chưa bao gồm thời gian khắc phục các điểm chưa phù hợp được phát hiện trong quá trình kiểm tra và đánh giá, do phụ thuộc vào tình hình thực tế của việc áp dụng ISMS tại Công ty Nếu trong quá trình đánh giá phát hiện nhiều điểm không phù hợp, thời gian triển khai, áp dụng và đạt chứng chỉ ISO 27001 sẽ tăng lên đáng kể.

❖ Cam kết của ban lãnh đạo

Dự án ISMS đã được triển khai thành công nhờ vai trò quyết định của ban lãnh đạo trong việc cam kết cung cấp các dẫn chứng cần thiết để thiết lập, triển khai, điều hành, giám sát, đánh giá, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin Sự tham gia và hỗ trợ của ban lãnh đạo là yếu tố then chốt giúp đảm bảo tính liên tục và hiệu quả của hệ thống ISMS Việc lãnh đạo cam kết rõ ràng sẽ tạo nền tảng vững chắc cho quá trình xây dựng, vận hành và cải tiến hệ thống quản lý an toàn thông tin theo tiêu chuẩn quốc tế.

- Thiết lập chính sách cho hệ thống bảo đảm ATTT;

- Đảm bảo rằng các mục tiêu và kế hoạch của hệ thống ATTT đã được xây dựng;

- Xây dựng vai trò và trách nhiệm của ATTT;

Chúng tôi đã trao đổi với tổ chức về các mục tiêu bảo đảm an toàn thông tin (ATTT), nhằm đảm bảo phù hợp với các chính sách ATTT hiện hành Đồng thời, chúng tôi tập trung vào việc điều chỉnh các trách nhiệm theo quy định pháp luật và đề xuất các biện pháp tiếp tục cải tiến hệ thống bảo mật để nâng cao hiệu quả bảo vệ dữ liệu.

Các tổ chức cần nhận thức rõ về tầm quan trọng của các mục tiêu an toàn thông tin (ATTT) để đảm bảo tuân thủ chính sách ATTT một cách nghiêm ngặt Việc thực thi các mục tiêu này không chỉ giúp bảo vệ dữ liệu và hệ thống khỏi các mối đe dọa mà còn trưởng thành trong trách nhiệm pháp lý Đồng thời, nâng cao và cải tiến liên tục hệ thống ATTT là yếu tố then chốt để thích ứng với những thay đổi của môi trường công nghệ và phòng ngừa các rủi ro mới.

- Cung cấp đầy đủ tài nguyên cho các quá trình thiết lập, triển khai, điều hành, giám sát, kiểm tra, bảo trì và nâng cấp ISMS;

- Xác định chỉ tiêu cho các rủi ro và mức độ có thể chấp nhận được;

- Đảm bảo việc chỉ đạo quá trình kiểm toán nội bộ ISMS;

- Chỉ đạo việc soát xét sự quản lý của ISMS

Việc thuê tổ chức tư vấn hoặc các chuyên gia tư vấn có kinh nghiệm trong triển khai và áp dụng hệ thống quản lý ISMS theo tiêu chuẩn ISO 27001:2008 giúp đảm bảo quá trình triển khai đúng theo các yêu cầu của tiêu chuẩn này Đối với HIPT, khuyến nghị nên thuê chuyên gia tư vấn từ tổ chức chứng nhận DAS Việt Nam để giảm chi phí tư vấn và tiết kiệm nguồn lực Tuy nhiên, chi phí thuê tư vấn thường khá cao, dao động khoảng 20.000 – 30.000 USD.

Chuyên gia tư vấn sẽ tham gia hỗ trợ và hướng dẫn các hoạt động triển khai hệ thống quản lý an ninh thông tin (ISMS) trong suốt quá trình thực hiện dự án Quá trình này diễn ra liên tục cho đến khi tổ chức đạt được chứng chỉ ISO mong muốn Việc có chuyên gia tư vấn giúp đảm bảo quá trình triển khai hiệu quả, tuân thủ các tiêu chuẩn quốc tế và nâng cao khả năng thành công của dự án ISO.

27001 Chuyên gia tư vấn thực hiện các công việc:

Tư vấn cho Công ty về cách thức triển khai ISMS theo ISO 27001:2008;

- Đưa ra ý kiến góp ý cho ban lãnh đạo về ISMS;

- Cùng ban lãnh đạo thành lập đội dự án ISO 27001;

- Đào tạo nhận thức cho cán bộ nhận viên Công ty;

Tham gia vào các hoạt động đánh giá và xử lý rủi ro nhằm đảm bảo an toàn thông tin, đồng thời triển khai và duy trì hệ thống quản lý an toàn thông tin (ISMS) phù hợp với các tiêu chuẩn quốc tế.Chuẩn bị kỹ lưỡng cho quá trình đánh giá và thực hiện các bước để đáp ứng yêu cầu của chứng nhận, giúp tổ chức nâng cao khả năng bảo vệ dữ liệu và tăng cường uy tín trên thị trường.

Việc khảo sát thực trạng hệ thống quản lý an toàn thông tin (ATTT) đóng vai trò quan trọng trong giai đoạn chuẩn bị, giúp xác định mức độ phù hợp của hệ thống hiện tại so với tiêu chuẩn ISO 27001:2008 Quá trình này nhằm đánh giá các điểm mạnh, điểm yếu, xác định khoảng cách so với các yêu cầu của tiêu chuẩn để từ đó đề xuất các kế hoạch và biện pháp cải thiện phù hợp Khảo sát thực trạng ATTT bao gồm các công việc như đánh giá hệ thống hiện tại, xác định các điểm phù hợp và chưa phù hợp, từ đó xây dựng lộ trình cải tiến nhằm đảm bảo hệ thống đáp ứng tiêu chuẩn quốc tế.

- Khảo sát phần cứng, phần mềm của hệ thống quản lý ATTT;

- Đánh giá thực trạng hệ thống so với các yêu cầu của tiêu chuẩn ISO 27001;

- Báo cáo ban lãnh đạo những điểm phù hợp cũng như những điểm yếu của hệ thống;

- Đề xuất kế hoạch, biện pháp cụ thể để xây dựng Hệ thống theo yêu cầu của tiêu chuẩn

❖ Lên kế hoạch tổng quát

Kế hoạch tổng quát giúp xác định các công việc chính cần thực hiện để xây dựng, áp dụng và chứng nhận hệ thống quản lý an ninh thông tin theo tiêu chuẩn ISO 27001:2008 Nó cung cấp cái nhìn toàn diện về các bước cần thiết để triển khai ISMS hiệu quả, đảm bảo tuân thủ tiêu chuẩn quốc tế về bảo vệ dữ liệu và nâng cao an ninh thông tin cho tổ chức.

Kế hoạch tổng quan phải xác định được:

- Danh mục các tài liệu ISMS cần xây dựng bao gồm các tài liệu ISMS và

134 quy định cùng 11 mục tiêu kiểm soát;

Dự toán đầu tư cho các hoạt động bao gồm chi phí tư vấn, đào tạo nhân sự, xây dựng quy trình, cũng như chi phí cho cơ sở vật chất, trang thiết bị và các giải pháp giảm thiểu rủi ro Tổng chi phí triển khai hệ thống quản lý an toàn thông tin (ISMS) theo tiêu chuẩn ISO 27001:2008 đến khi đạt chứng nhận phụ thuộc vào quy mô và phạm vi của doanh nghiệp Đối với HIPT - một Tập đoàn lớn có phạm vi áp dụng toàn bộ tổ chức - chi phí đầu tư ước tính vào khoảng 100.000 – 300.000 USD.

❖ Thành lập đội dự án ISO 27001

Triển khai ISMS theo tiêu chuẩn ISO 27001:2008 đòi hỏi nguồn nhân lực có chuyên môn và kinh nghiệm phù hợp để thực hiện các công việc phức tạp Với nguồn lực hiện tại của Công ty, việc này chưa thể đáp ứng đầy đủ các yêu cầu đặt ra Thành lập đội dự án ISO 27001 sẽ giúp Công ty có đội ngũ nhân sự chuyên môn, kinh nghiệm trong triển khai và duy trì hệ thống quản lý an ninh thông tin theo tiêu chuẩn quốc tế Đội dự án sẽ tham gia vào tất cả các hoạt động từ thời điểm bắt đầu triển khai đến khi đạt chứng chỉ và duy trì, cải tiến ISMS theo tiêu chuẩn ISO 27001 Để thành lập đội dự án hiệu quả, Công ty cần thực hiện các bước chuẩn bị và công tác tổ chức phù hợp.

- Xác định nguồn nhân lực hiện có của Công ty;

Nhóm gồm những chuyên gia có kinh nghiệm triển khai hệ thống quản lý bảo mật thông tin theo tiêu chuẩn ISO 27001:2008, đảm nhiệm vai trò thiết yếu trong việc xây dựng và duy trì chính sách an ninh mạng Những người này có kiến thức sâu rộng về bảo mật thông tin và an ninh mạng trong công ty, giúp đảm bảo tuân thủ các tiêu chuẩn quốc tế và giảm thiểu rủi ro về an ninh dữ liệu Với đội ngũ chuyên môn cao, doanh nghiệp nâng cao khả năng phòng vệ tổng thể, bảo vệ tài sản thông tin và duy trì sự tin cậy từ khách hàng và đối tác.

- Đăng thông báo tuyển dụng nhân sự có chuyên môn, kinh nghiệm về triển khai xây dựng, áp dụng ISMS theo tiêu chuẩn ISO 27001:2008;

- Tổ chức tuyển dụng nhân sự tại Công ty;

- Tập hợp đủ 30 người có chuyên môn, kinh nghiệm về triển khai ISMS để thành lập đội dự án ISO 27001;

- Triển khai các khóa đào tạo nhận thức, đào tạo viết tài liệu liên quan tới ISO 27001:2008, đào tạo đánh giá nội bộ về ATTT

❖ Xác định phạm vi áp dụng

ISO 27001:2008 là tiêu chuẩn hướng tới việc áp dụng rộng rãi cho các tổ chức đa dạng như thương mại, nhà nước, phi lợi nhuận nhằm đảm bảo an toàn thông tin Tiêu chuẩn này quy định rõ các yêu cầu cho toàn bộ quá trình thiết lập, triển khai, vận hành, giám sát, đánh giá, bảo trì và nâng cấp hệ thống quản lý an ninh thông tin (ISMS) Mục tiêu của tiêu chuẩn là giảm thiểu các rủi ro về an ninh thông tin, bảo vệ dữ liệu của tổ chức trước các mối đe dọa tiềm ẩn Ngoài ra, tiêu chuẩn còn hướng dẫn cách triển khai các biện pháp bảo vệ phù hợp với nhu cầu cụ thể của công ty hoặc bộ phận trong tổ chức.

Hệ thống ISMS được xây dựng nhằm đảm bảo an toàn thông tin phù hợp và đầy đủ, giúp bảo vệ tài sản thông tin quan trọng của doanh nghiệp Việc triển khai ISMS Establishes niềm tin vững chắc từ các bên liên quan như đối tác, khách hàng và các bên liên quan khác Hệ thống này giúp nâng cao khả năng phòng ngừa rủi ro an ninh thông tin và duy trì uy tín của tổ chức trên thị trường.

Các yêu cầu được trình bày trong tiêu chuẩn này là mang tính tổng quát và nhằm ứng dụng rộng rãi cho nhiều loại hình tổ chức khác nhau

Những thuận lợi và khó khăn khi áp dụng ISMS theo tiêu chuẩn ISO 27001:2008 tại Công ty Cổ phần Tập đoàn HIPT

❖ Được sự ủng hộ và quan tâm nhiệt tình từ phía ban lãnh đạo

Lãnh đạo đóng vai trò cực kỳ quan trọng, quyết định thành công của mọi hoạt động trong Công ty Sự quan tâm và giám sát chặt chẽ từ phía ban lãnh đạo giúp đảm bảo công việc được thực hiện đúng tiến độ, hiệu quả và nhân viên cảm nhận rõ tầm quan trọng của nhiệm vụ của mình Khi lãnh đạo thể hiện sự chú ý, nhân viên sẽ có động lực làm việc tốt hơn, hướng tới thành tích cao để được thưởng và thăng tiến, còn nếu lãnh đạo thờ ơ, không kiểm tra tiến độ, nhân viên sẽ coi thường công việc, dẫn đến trì trệ, gây hậu quả nghiêm trọng cho hoạt động sản xuất kinh doanh của công ty Đặc biệt, trong quá trình triển khai hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2008, sự chỉ đạo liên tục của lãnh đạo là yếu tố then chốt để đảm bảo thành công, duy trì chứng chỉ bền vững Việc lãnh đạo tích cực quan tâm sẽ tạo động lực cho toàn bộ nhân viên của HIPT cố gắng thực hiện đúng quy trình, góp phần thành công trong việc áp dụng hệ thống ISMS theo tiêu chuẩn ISO 27001:2008 tại công ty.

❖ HIPT có kinh nghiệm trong việc triển khai và áp dụng hệ thống quản lý chất lượng theo tiêu chuẩn ISO 9001

HIPT đã có 7 năm kinh nghiệm trong việc áp dụng hệ thống quản lý chất lượng theo tiêu chuẩn ISO 9001, điều này giúp công ty dễ dàng triển khai ISO 27001:2008 nhờ vào sự tương thích và tích hợp giữa các tiêu chuẩn này Bộ tiêu chuẩn ISO 27001:2008 rất phù hợp và có thể đồng thời áp dụng cùng các hệ thống quản lý khác như ISO 9001 và ISO 14001, nhằm đảm bảo sự thống nhất trong quản lý Việc xây dựng chính sách, quy định, và quy trình theo ISO 27001:2008 dựa trên nền tảng đã có từ ISO 9001:2000 giúp giảm thiểu khó khăn trong quá trình triển khai Nhân viên đã quen làm việc theo các quy trình và có ý thức thực hiện đúng hệ thống quản lý đã xây dựng, làm cho quá trình triển khai ISO 27001:2008 trở nên dễ dàng hơn Ngoài ra, tiêu chuẩn ISO 27001:2008 còn yêu cầu xây dựng hệ thống tài liệu, biện pháp quản lý hồ sơ, điều này phù hợp với kinh nghiệm đã có của HIPT trong việc quản lý tài liệu theo ISO 9001.

ISO 9001 yêu cầu về quản lý hồ sơ, tài liệu và đã xây dựng hệ thống quản lý hồ sơ, tài liệu với các quy định rõ ràng Nhờ đó, tổ chức có kinh nghiệm trong việc lưu trữ, tra cứu hồ sơ, giúp nâng cao hiệu quả quản lý Các lợi thế này góp phần quan trọng trong việc xây dựng và duy trì hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2008.

❖ Hiện nay, Tổ chức ISO đã ban hành đầy đủ các văn bản hướng dẫn việc xây dựng, áp dụng và việc đánh giá để lấy chứng chỉ ISO 27001:2008

ISO 27001 là tiêu chuẩn quốc tế về Hệ thống quản lý an toàn thông tin (ISMS), do Tổ chức tiêu chuẩn hóa quốc tế ISO phát triển và ban hành Tiêu chuẩn này đề ra các yêu cầu chiến lược để xây dựng, áp dụng và vận hành hệ thống quản lý an ninh thông tin một cách toàn diện và khoa học Việc tuân thủ ISO 27001 giúp các tổ chức đảm bảo an toàn dữ liệu, nâng cao bảo mật thông tin và giảm thiểu rủi ro về an ninh mạng Đây là tiêu chuẩn quan trọng để xây dựng một hệ thống bảo vệ dữ liệu vững chắc, phù hợp với các yêu cầu pháp lý và tiêu chuẩn quốc tế.

ISO 27001:2005 nhằm cung cấp nền tảng chung cho việc phát triển các tiêu chuẩn an toàn thông tin và thực hành quản lý an toàn thông tin hiệu quả, đồng thời xây dựng lòng tin trong các mối quan hệ của tổ chức Tiêu chuẩn này ban đầu dựa trên chuẩn BS7799 của Viện Tiêu chuẩn Anh Quốc (BSI), bắt đầu phát triển từ những năm 1990 để đáp ứng yêu cầu an ninh thông tin của doanh nghiệp, chính phủ và công nghiệp Năm 1995, BS7799 chính thức được công nhận, và tháng 5 năm 1999, phiên bản thứ hai của chuẩn này được phát hành với nhiều cải tiến đáng kể, đánh dấu bước tiến quan trọng trong quản lý an ninh thông tin.

502 Bad GatewayUnable to reach the origin service The service may be down or it may not be responding to traffic from cloudflared

Hệ thống văn bản hướng dẫn đầy đủ và chi tiết các bước từ thiết lập, triển khai đến vận hành, theo dõi, kiểm tra, bảo trì và nâng cấp giúp việc xây dựng và áp dụng Hệ thống Quản lý An toàn Thông tin theo tiêu chuẩn ISO 27001:2008 trở nên dễ dàng hơn Nếu HIPT tuân thủ đúng các yêu cầu và hướng dẫn trong các văn bản này, tin rằng công ty sẽ thành công trong việc áp dụng hệ thống và đạt chứng chỉ ISO 27001:2008, nâng cao năng lực bảo vệ dữ liệu và uy tín doanh nghiệp.

❖ Có nguồn đầu tư kinh phí lớn

Tập đoàn HIPT là một công ty lớn trong lĩnh vực CNTT với hơn 500 nhân viên, hoạt động đa dạng trong nhiều ngành nghề liên quan đến công nghệ thông tin Doanh thu hàng năm của tập đoàn lên đến hàng trăm tỷ đồng, thể hiện năng lực tài chính vững mạnh Tập đoàn hợp tác với nhiều đối tác uy tín như HP, Oracle, Cisco, IBM, Microsoft, và nhiều thương hiệu quốc tế khác, đảm bảo chất lượng dịch vụ và sản phẩm Là công ty cổ phần, HIPT luôn nhận được sự ủng hộ từ các chủ đầu tư và cổ đông, giúp tập đoàn duy trì nguồn tài chính ổn định để thực hiện các chiến lược kinh doanh hiệu quả.

Xây dựng ISMS theo tiêu chuẩn ISO 27001:2008 là dự án lớn đòi hỏi nguồn lực và chi phí đáng kể để triển khai và duy trì Hầu hết các công ty cần có nguồn tài chính mạnh mới có thể đảm bảo thành công trong việc xây dựng hệ thống này Với lợi thế về nguồn tài chính ổn định và sự hỗ trợ từ ban lãnh đạo, Tập đoàn HIPT có điều kiện thuận lợi để triển khai thành công và đạt chứng chỉ ISO 27001:2008.

❖ Khó khăn xuất phát từ nhận thức chưa đầy đủ về an toàn thông tin của các cá nhân, các đơn vị, chưa có ý thức bảo mật thông tin

Bảo mật thông tin nội bộ doanh nghiệp đóng vai trò cực kỳ quan trọng trong việc bảo vệ tài sản và danh tiếng của công ty Việc thực hiện các biện pháp bảo mật hiệu quả giúp ngăn chặn rủi ro mất mát dữ liệu, bảo vệ thông tin khách hàng và giữ vững uy tín thương hiệu trên thị trường Nếu không đảm bảo an toàn thông tin, doanh nghiệp có thể gặp phải hậu quả nghiêm trọng về tài chính và uy tín, ảnh hưởng lâu dài đến sự phát triển bền vững.

Nhân viên trong các doanh nghiệp có điều kiện tiếp xúc dễ dàng với hệ thống thông tin hơn so với người ngoài, dẫn đến nguy cơ mất an ninh nội bộ cao hơn Thành viên nội bộ có thể vô tình hoặc cố ý làm lộ thông tin, ví dụ như lưu trữ dữ liệu không an toàn trên USB hoặc CD-Rom mà không tuân thủ các quy định về an ninh Trong khi nhiều doanh nghiệp tập trung vào bảo vệ khỏi các cuộc tấn công từ bên ngoài bằng các thiết bị như tường lửa, phần mềm diệt virus, thì việc nhận diện điểm yếu trong hệ thống nội bộ mới là yếu tố then chốt Kiến thức về các lỗ hổng công nghệ và áp dụng các biện pháp quản lý phù hợp, chẳng hạn như thay đổi quy trình công việc hoặc quy định nội bộ, là những giải pháp hiệu quả để nâng cao an ninh hệ thống mà không nhất thiết phải đầu tư lớn vào công nghệ.

Tại HIPT đang đối mặt với thực trạng mất an toàn thông tin, chủ yếu do nhận thức của nhân viên về bảo mật chưa cao Việc nhiều nhân viên không nhận thức rõ tầm quan trọng của các thông tin nội bộ khi chia sẻ trên máy chủ gây nguy cơ rò rỉ dữ liệu Họ vẫn thường xuyên sử dụng các thiết bị không đảm bảo an toàn như USB, cổng kết nối, CD-Room để sao chép tài liệu, làm tăng nguy cơ lộ lọt thông tin ra bên ngoài Điều này có thể ảnh hưởng nghiêm trọng đến hoạt động kinh doanh và lợi ích của công ty Nguyên nhân chính là ý thức bảo mật của nhân viên chưa đủ cao, chưa nhận thức rõ hậu quả nghiêm trọng khi thông tin nội bộ rơi vào tay đối thủ cạnh tranh.

ĐỀ XUẤT GIẢI PHÁP ĐỂ ÁP DỤNG THÀNH CÔNG HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001:2008 TẠI CÔNG TY CỔ PHẦN TẬP ĐOÀN HIPT

Định dạng
Số trang	113
Dung lượng	1,06 MB