Chỉ 1% DN phần mềm đạt chuẩn ISO về an toàn thông tin

Cả nước có hơn 800 doanh nghiệp phần mềm nhưng mới chỉ có khoảng 10 doanh nghiệp đạt tiêu chuẩn ISO/IEC 27001:2005 về hệ thống quản lý an toàn thông tin.

Chuan an toan thong tin 1.JPG

Nhiều doanh nghiệp chưa thể triển khai được hệ thống quản lý an toàn thông tin đạt chuẩn ISO 27001 vì thiếu cả tiền lẫn nhân lực.

Đếm trên đầu ngón tay!

“Điểm mặt anh tài” thì hơn chục năm qua, cộng đồng doanh nghiệp phần mềm Việt Nam vẫn chỉ có một vài “tên tuổi” lớn đã được chứng nhận đạt chuẩn ISO 27001 về an toàn thông tin như FPT Software, CMC Soft, Bkav, Tinh Vân… Có vẻ như các doanh nghiệp, nhất là doanh nghiệp vừa và nhỏ chưa quan tâm tới việc phải xây dựng và triển khai hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO này.

Trao đổi với phóng viên ICTNews, ông Nguyễn Trọng Đường, Vụ trưởng Vụ CNTT, Bộ TT&TT cho biết: “An toàn thông tin đang là vấn đề nóng. Không chỉ những doanh nghiệp làm CNTT mà cả những tổ chức, doanh nghiệp ứng dụng CNTT cũng phải ứng dụng những tiêu chuẩn như ISO 27001. Đặc biệt, các doanh nghiệp phần mềm, CNTT lại rất cần có chứng nhận đạt tiêu chuẩn này để còn tư vấn, hướng dẫn các doanh nghiệp ứng dụng CNTT cùng tham gia xây dựng các hệ thống quản lý an toàn thông tin cho riêng mình. Tuy nhiên, số lượng tổ chức, doanh nghiệp triển khai ISO 27001 đa phần thuộc các lĩnh vực ngân hàng, tài chính và các trung tâm dữ liệu (data center). Còn trong lĩnh vực phần mềm thì số lượng rất khiêm tốn. Khi chỉ có một vài doanh nghiệp lớn đạt chuẩn ISO 27001 thì hệ lụy kéo theo là Việt Nam luôn bị đánh giá như một quốc gia mất an toàn thông tin”.

Theo thống kê chính thức của Tổ chức Tiêu chuẩn Quốc tế (ISO), hiện Việt Nam mới có 14 doanh nghiệp đạt tiêu chuẩn ISO/IEC 27001 về hệ thống quản lý an toàn thông tin, gồm cả doanh nghiệp phần mềm, CNTT và doanh nghiệp của lĩnh vực khác. Như vậy, nếu chỉ tính riêng lĩnh vực phần mềm thì mới chỉ có khoảng 1% doanh nghiệp đạt ISO 27001.

Một thông tin đáng lưu ý, dù Tổ chức ISO tuyên bố chỉ có 14 doanh nghiệp Việt Nam đạt chuẩn ISO 27001:2005 song vẫn có một số nguồn thống kê từ Việt Nam lại cho biết đã có 40 tổ chức, doanh nghiệp đạt chuẩn này.

Bàn về sự “vênh” số liệu, bà Đinh Mai Trang, Giám đốc Học viện NetPro cho rằng nguyên nhân là ở Việt Nam có nhiều tổ chức tư vấn, đánh giá về ISO được phép cấp chứng nhận về ISO cho các doanh nghiệp. Có những doanh nghiệp đã được tổ chức trong nước cấp chứng nhận đạt chuẩn ISO nhưng hồ sơ chưa được chuyển lên Tổ chức ISO nên chưa có tên trong danh sách. Cũng có những doanh nghiệp chỉ cố gắng chứng nhận1 lần rồi sau đó bỏ bẵng đi, sang những năm sau không đủ tiêu chuẩn nên bị ISO loại khỏi danh sách đạt chuẩn (theo quy định thì mỗi năm doanh nghiệp phải trải qua 1 lần đánh giá lại, sau 3 năm hết hạn chứng chỉ thì phải chuẩn bị cho đợt đánh giá cấp chứng chỉ mới).

Không muốn hay không thể?

Tìm hiểu nguyên nhân của hiện trạng các doanh nghiệp không “mặn mà” triển khai ISO 27001, ông Đường phân tích khó khăn lớn nhất là kinh phí đầu tư. Để làm được ISO 27001 thì doanh nghiệp phải bỏ ra một khoản tiền lớn để chi cho các khoản mục như tư vấn xây dựng quy trình, đánh giá đạt chứng chỉ, đầu tư trang thiết bị, duy trì hệ thống quản lý an toàn thông tin… Đặc biệt, có những khoản chi đang được coi là “khó khả thi” như để làm ISO 27001 thì tất cả máy tính trong doanh nghiệp phải có bản quyền.

Một vấn đề khác khiến các doanh nghiệp “ngại” làm ISO 27001 là nếu theo chuẩn này thì mọi công việc, mọi con người trong doanh nghiệp phải nhất nhất tuân thủ theo quy trình chặt chẽ. Trong khi người Việt Nam thường có đặc điểm là làm việc rất linh hoạt và không theo quy trình.

Ngoài ra, nhìn trên bình diện chung cả nước thì nguồn nhân lực chất lượng cao về lĩnh vực tiêu chuẩn an ninh thông tin còn rất thiếu. “Hiện chưa có người Việt Nam nào được cấp chứng chỉ công nhận là chuyên gia đánh giá trưởng về tiêu chuẩn ISO. Các doanh nghiệp có nhu cầu tư vấn, đánh giá để chuẩn bị cho việc được cấp chứng chỉ ISO thường phải thuê chuyên gia nước ngoài”, bà Trang dẫn chứng thêm.

Nhà nước “kích cầu”

Nhằm giúp các tổ chức, doanh nghiệp có thêm động lực để xây dựng hệ thống quản lý an toàn thông tin, Bộ TT&TT đang triển khai Chương trình đào tạo về an ninh thông tin và tiêu chuẩn ISO/IEC 27001:2005 cho các tổ chức, doanh nghiệp. Theo đó, từ tháng 3 đến tháng 7/2013, sẽ có 18 khóa đào tạo được tổ chức cho khoảng 600 học viên từ gần 100 đơn vị, doanh nghiệp CNTT, các cơ quan hành chính sự nghiệp, viện nghiên cứu. Khóa đầu tiên vừa khai giảng sáng 11/3/2013 tại Hà Nội với sự tham gia của hơn 30 học viên đến từ các doanh nghiệp CNTT, phần mềm và nội dung số.

Một tín hiệu vui là số lượng tổ chức, doanh nghiệp đăng ký tham gia các khóa đào tạo lớn hơn dự kiến ban đầu của Bộ TT&TT và không ít doanh nghiệp đành phải chờ cơ hội khác. Điều này cho thấy các tổ chức, doanh nghiệp đã có sự thay đổi tích cực chí ít về tư duy nhận thức đối với việc triển khai hệ thống quản lý an toàn an ninh thông tin.

Cùng với việc hỗ trợ đào tạo, nâng cao nhận thức, Bộ TT&TT cũng hỗ trợ các tổ chức, doanh nghiệp CNTT triển khai Hệ thống quản lý an toàn thông tin ISO 27001 với mức tối đa 20.000 USD/doanh nghiệp. Trong đó, phần xây dựng, áp dụng quy trình ISO 27001 sẽ được nhận khoảng 12.000 USD/doanh nghiệp (ưu tiên những đơn vị triển khai ISO 27001 lần đầu) và phần đánh giá, đạt chứng chỉ cho năm đầu tiên được nhận 8.000 USD/doanh nghiệp (hỗ trợ cho đơn vị làm mới chứng chỉ hoặc tái chứng nhận).

“Ý tưởng của Bộ TT&TT là “kích cầu” để các doanh nghiệp quan tâm hơn và đầu tư xây dựng hệ thống quản lý an toàn an ninh thông tin đạt tiêu chuẩn ISO/IEC 27001:2005, qua đó tạo dựng được một thương hiệu Việt Nam có nhiều doanh nghiệp đảm bảo an toàn thông tin”, ông Đường chia sẻ.

Theo Nss