|
Đánh mất dữ liệu và bị hack hệ thống máy tính luôn là mối nguy thường trực tại nhiều tổ chức nhưng thực tế số lượng tổ chức áp dụng tiêu chuẩn ISO/IEC 27001 để xây dựng hệ thống quản lý an toàn thông tin vẫn còn rất ít. Các vấn đề về an toàn thông tin trong tổ chức đang là câu chuyện rất thời sự và cấp bách hiện nay.
Rất nhiều doanh nghiệp tạo ra lợi thế cạnh tranh trên thị trường bằng việc: cập nhật kiến thức khoa học & công nghệ, định hướng kinh doanh, hoạch định chiến lược, quyết định một vấn đề hay giải quyết một sự vụ, thu thập thông tin khách hàng, nắm bắt cơ hội … Tất cả những phương thức này đều cần đến thông tin. Ai có thông tin, người đó có lợi thế trong việc dành chiến thắng. Bởi vậy mà an ninh thông tin trở thành vấn đề vô cùng quan trọng hiện nay.
Khi công nghệ thông tin càng phát triển, máy tính, internet rồi các phương tiện truyền tải thông tin hiện đại và tiện dụng hơn, con người và máy móc ngày càng liên kết chặt chẽ thì nguy cơ rò rỉ, thất thoát thông tin cũng theo đó cao, dẫn đến những hậu quả khôn lường. Nếu việc đánh cắp dữ liệu trong những cơ quan an ninh hay quân sự gây ảnh hưởng rất lớn đến vấn đề chính trị của một quốc gia thì với các ngành kinh tế như ngân hàng, tài chính nếu thông tin bị rò rỉ sẽ ảnh hưởng nghiêm trọng tới doanh nghiệp hoặc khách hàng của doanh nghiệp đó.
Tại Việt Nam, các đối tượng sở hữu chứng nhận ISO 27001 tập trung vào các doanh nghiệp lớn như: FPT Software, CMC Soft, Bkav, Tinh Vân… Các doanh nghiệp vừa và nhỏ chưa quan tâm lắm tới việc phải xây dựng và triển khai hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO này.
Nguyên nhân đầu tiên của việc các doanh nghiệp không mấy mặn mà với tiêu chuẩn ISO 27001 là kinh phí đầu tư: Để xây dựng và áp dụng ISO/IEC 27001, doanh nghiệp cần bỏ ra một khoản tiền lớn để chi cho các khoản mục như tư vấn ISO 27001, đào tạo nhận thức, xây dựng quy trình hệ thống, triển khai tác nghiệp, đánh giá chứng nhận, đầu tư trang thiết bị, duy trì hệ thống quản lý an toàn thông tin hàng năm… Đặc biệt, có những khoản chi đang được coi là “khó khả thi” như để đạt chuẩn ISO/IEC 27001 thì tất cả máy tính trong doanh nghiệp phải có bản quyền.
Nguyên nhận thứ hai khiến các doanh nghiệp “ái ngại” là nếu theo tiêu chuẩn này thì mọi công việc, mọi con người trong doanh nghiệp phải nhất nhất tuân thủ theo quy trình chặt chẽ, trước mỗi thời điểm đánh giá giám sát hàng năm, doanh nghiệp phải bỏ thời gian rà soát hệ thống tài liệu, hồ sơ. Do vậy nhiều doanh nghiệp sợ tạo gánh nặng thêm cho mình nếu như áp dụng thêm tiêu chuẩn ISO/IEC 27001.
Nguyên nhận thứ ba xuất phát từ nguồn nhân lực của doanh nghiệp. Nếu xét chuyên môn, phần lớn các nhân viên đều là các chuyên gia Công nghệ thông tin, nhưng trên khía cạnh quản lý hệ thống, rất ít người hiểu bản chất của hệ thống quản lý an toàn thông tin theo yêu cầu của tiêu chuẩn ISO 27001.
Nguyên nhận thứ tư là quan điểm của lãnh đạo doanh nghiệp. Tại Việt Nam, chỉ số ít lãnh đạo doanh nghiệp hoạch định chiến lược cho tổ chức đáp ứng các yêu cầu của quốc gia và quốc tế để tự vệ trước nguy cơ của nền kinh tế thị trường.
Để giải quyết những nguyên nhân trên, doanh nghiệp cần: · Xác định xây dựng hệ thống quản lý an toàn thông tin là nhằm bảo vệ thành quả của mình trước vấn nạn đánh cắp, rò rỉ thông tin · Rủi ro tài chính cho việc khắc phục, sửa chữa an toàn thông tin nhiều khi cao hơn rất nhiều so với việc đầu tư xây dựng · Tìm các đơn vị tư vấn và/hoặc chuyên gia tư vấn có năng lực chuyên môn, hiểu đúng và đầy đủ các yêu cầu về hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001 · Bố trí những nguồn lực thích hợp để thực hiện đúng công việc theo kế hoạch
| 
Thời gian đăng: 25/8/2021 15:22:31
Chia sẻ
