Tải bản đầy đủ (.docx) (32 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kinh tế - Thương mại

Các công cụ quản trị hệ thống thông tin đang được ứng dụng phổ biến ở việt nam

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (230.84 KB, 32 trang )

MỤC LỤC

GIỚI THIỆU CHUNG
Trong bối cảnh nền kinh tế tri thức hiện tại và tương lai, việc xây dựng một hệ
thống thông tin hỗ trợ và tạo lợi thế cạnh tranh cho các tổ chức doanh nghiệp là
một nhu cầu tất yếu. Tuy nhiên, một hệ thống thông tin thế nào là tốt? Hệ thống
thông tin có thể phù hợp với tổ chức này nhưng có phù hợp với tổ chức khác
không? Và hệ thống thông tin dùng trong doanh nghiệp đang “chuẩn” ở mức nào?
Cần tiến tới mục tiêu nào để tạo lợi thế cạnh tranh so với các tổ chức, doanh
nghiệp khác?... Để trả lời được các nhà quản lý phải trang bị một phương pháp
quản trị và đánh giá hệ thống thông tin doanh nghiệp của mình. Một phương pháp
tốt sẽ quản trị và đánh giá hệ thống thông tin của doanh nghiệp tốt, xác định được
vị trí hiện tại và mục tiêu cần tiến đến của doanh nghiệp sẽ được đảm bảo thành
công hơn… Trải qua những kinh nghiệm trong nhiều năm và đã tổng hợp thành
những phương pháp quản trị hữu ích, đến nay thế giới có một số phương pháp


quản trị phổ biến như: ITIL, COBIT, ISO17799/ ISO27001, CMMi, COSO,
PMBOX…

2


CHƯƠNG I: GIỚI THIỆU VỀ HỆ THỐNG THÔNG TIN VÀ CÁC CÔNG CỤ
QUẢN TRỊ HỆ THỐNG THÔNG TIN ĐANG ĐƯỢC ỨNG DỤNG Ở VN
1. Giới thiệu về hệ thống thông tin
1.1 Khái niệm hệ thống thông tin

Là một hệ thống mà mục tiêu, nhiệm vụ của nó là cung cấp thông tin phục vụ
cho hoạt động của con người trong một tổ chức nào đó. Ta có thể hiểu hệ thống
thông tin là hệ thống mà mối liên hệ giữa các thành phần của nó cũng như mối


liên hệ giữa nó với các hệ thống khác là sự trao đổi thông tin. Chúng ta phải dựa vào hệ
thống thông tin để trao đổi và duy trì hoạt động.
1.2 Khái niệm hệ thống thông tin quản lý
Nói đến hệ thống thông tin quản lý nghĩa là nói đến tầm quan trọng và vai trò
của hệ thống thông tin trong tổ chức và doanh nghiệp. Phần lớn hệ thống thông
tin thường được xây dựng nhằm phục vụ cho một hoặc vài chức năng nào đó,
hoặc chỉ đơn giản là giúp con người giải thoát khỏi một số công việc quản lý thông
thường như tính toán, thống kê. Khi xuất hiện nhu cầu cung cấp các thông tin tốt
hơn và đầy đủ hơn, cũng là lúc cần đến những phương thức xử lý thông tin một
cách tổng thể - hệ thống thông tin quản lý.
Ví dụ về hệ thống thông tin quản lý:
• Hệ thống quản lý nhân sự trong một cơ quan.
• Hệ thống quản lý sinh viên trong một trường đại học.
• Hệ thống kế toán trong một siêu thị.
1.3

Vai trò của hệ thống thông tin trong doanh nghiệp
Hệ thống thông tin đem lại nhiều lợi ích cho doanh nghiệp và tùy vào vị trí, khả
năng ứng dụng của hệ thống mà nó có những vai trò quan trọng khác nhau. Dưới
đây là một số vai trò phổ biến của hệ thống thông tin đối với doanh nghiệp:
ϖ Hỗ trợ các quy trình và hoạt động nghiệp vụ. Các HTTT sử dụng máy tính để
hỗ trợ nhân viên ghi nhận các hóa đơn bán hàng, quản lý kho, trả lương, nhập
hàng… Nghiệp vụ kế toán cần sự chính xác và có quy trình vào ra rõ ràng của
các thông tin bởi vậy rất cần sự hỗ trợ của hệ thống thông tin.

3


ϖ Hỗ trợ nhân viên và các nhà quản lý trong công việc ra quyết định dựa trên
hiện trạng của doanh nghiệp. HTTT hỗ trợ người quản lý và các chuyên gia

nghiệp vụ trong việc đưa ra những quyết định hợp lý với xu hướng phát truyển.
Bởi sau khi tổng hợp dữ liệu tình hình nghiên cứu, phát triển HTTT thường có
nhiệm vụ tạo báo cáo để hỗ trợ việc đưa ra quyết định… Quyết định xem nên
duy trì mặt hàng nào, loại bỏ mặt hàng nào ít tiềm năng, đầu tư thêm những gì…
HTTT tổng hợp ý kiến khách hàng, tổng hợp đánh giá chất lượng sản phẩm
và báo cáo tất cả bởi vậy giúp so sánh và loại sản phẩm kém hơn.
ϖ Hỗ trợ đưa ra các chiến lược phát truyển và nâng cao năng lực cạnh tranh. Xây
dựng một chiến lược nhằm dành lấy lợi thế so với đối thủ, sử dụng những ứng
dụng thông tin chiến lược. Ví dụ như cài đặt các khối điện tử để bày bán hàng
tự động tại nhiều địa điểm khác nhau, xây dựng các website quảng bá và bán
hàng trên mạng theo mô hình thương mại điện tử…

2. Các công cụ quản trị hệ thống thông tin đang được ứng dụng phổ biến ở Việt Nam
2.1 COBIT

2.1.1 Khái niệm
COBIT là một chuẩn quốc tế về quản lý CNTT gồm những khuôn mẫu về các thực
hành tốt nhất về quản lý CNTT do ISACA và ITGI xây dựng năm 1996. COBIT cung cấp
cho các nhà quản lý, những người kiểm tra và những người sử dụng IT một loạt các cách
đo lường, dụng cụ đo, các quy trình và các hướng dẫn thực hành tốt nhất để giúp tăng tối
đa lợi nhuận thông qua việc sử dụng CNTT; giúp quản lý và kiểm soát IT trong tổ chức,
doanh nghiệp.
2.1.2 Mục đích
Để cung cấp một khuôn khổ để những khoảng trống cầu nối giữa các rủi ro kinh
doanh, nhu cầu kiểm soát và các vấn đề kỹ thuật để tăng tối đa lợi ích, tạo những cơ hội
và đạt được lợi thế cạnh tranh. Chiến lược kinh doanh thành công khi có hệ thống CNTT
được xây dựng thành công và COBIT kiểm soát các vấn đề kĩ thuật để đảm bảo sự thành
công đó. Xác định rõ chức năng của CNTT là cung cấp thông tin cho DN để thực hiện các
chiến lược kinh doanh của mình. Luôn xác định rõ mục đích và nhiệm vụ của CNTT giúp
CNTT áp dụng đạt hiệu quả tối ưu, tránh lãng phí không cần thiết. Xây dựng các quy

4


trình cũng như vai trò và trách nhiệm trong việc tạo ra thông tin trên (IT proces). Bằng
những hướng dẫn và những kinh nghiệm COBIT giúp xây dựng các quy trình trong việc
phát triển hệ thống thông tin. Phân nhóm các quy trình thành các phạm vi cụ thể
(Domain) và đưa ra các mục tiêu kiểm soát (control objective). Bằng cách phân nhóm và
đưa ra mục tiêu cụ thể này COBIT giúp người triển khai luôn hiểu rõ công đoạn mình
phải làm và không đi chệch hướng hay lan man sang các phạm vi khác. Xem xét các vấn
để về độ tin cậy, chất lượng và mức độ an toàn an ninh cho các thành phần HTTT. COBIT
chú trọng việc kiểm soát vì vậy luôn phải đảm bảo chất lượng và mức độ an ninh của dự
án.
2.2 ITIL

2.2.1 Khái niệm
ITIL (Information Technology Infrastructure Library) được phát triển ở Anh vào
năm 1980 cho CCTA (Central Computer and Telecommunications Agency) – một cơ quan
trực thuộc Kho bạc Nhà nước Anh. Bằng cách thu thập, tổng hợp các trải nghiệm thực tế
tối ưu từ 10 Công ty có hiệu quả hàng đầu trong lĩnh vực Quản lý dịch vụ CNTT, CCTA
thiết lập một bộ khung tiến trình trải nghiệm thực tế tối ưu được gọi là Tài nguyên Kiến
trúc Công nghệ Thông tin (ITIL). Bộ khung này đã được chính 10 Công ty tham gia đầu
tiên đón nhận và thực hiện việc tuân thủ ứng dụng rộng rãi bộ tài liệu mới này.
Mặc dù ban đầu ITIL được phát triển bởi CCTA nhưng đến nay nó đang được áp
dụng và sử dụng rộng rãi trên phạm vi toàn cầu và được xem như là một Thông lệ Quốc tế
tốt nhất cho các dịch vụ IT. Tuy ITIL bao hàm nhiều lĩnh vực khác nhau nhưng tâm điểm
của nó tập trung cho hoạt động Quản lý Dịch vụ IT.
2.2.2

Mục đích
Hệ thống ITIL sẽ là một định hướng mới trong việc quản lý và điều hành trong lĩnh

vực IT của các doanh nghiệp – xem IT như là một bộ phận kinh doanh hơn là một đơn vị
kỹ thuật thuần tuý. Từ đó doanh nghiệp có cơ sở để cân nhắc và tìm kiếm giải pháp đầu tư
một cách hiệu quả hơn nhờ các thành quả tiến bộ của công nghệ thông tin, nâng cao hiệu
quả kinh doanh thông qua việc nâng cao chất lượng của dịch vụ IT ngay trong chính
doanh nghiệp.
5


ITIL tập trung vào các khía cạnh sau:


Cung cấp dịch vụ có chất lượng được cải tiến



Chi phí hợp lý với chất lượng dịch vụ



Các dịch vụ phù hợp với mục tiêu kinh doanh, phù hợp với các nhu cầu của khách hàng
và người dùng



Các tiến trình tích hợp tập trung



Sự rõ ràng của các vai trò và trách nhiệm




Phương thức tiếp cận các vấn đề bằng tri thức



Các chỉ số thực thi
ITIL có thể được xem như là ISO 9000 cho Hoạt động IT. Tương tự như việc kiểm
soát Chất lượng và Tài chính, ITIL tập trung hỗ trợ quản lý-thiết lập mục tiêu, đo lường
sự phát triển, đo lường các kết quả và giải quyết vấn đề khi kết quả đạt được không phù
hợp với các mục tiêu đã định. ITIL là bộ khung của các tiến trình, các vai trò và bao gồm
cả các cách đo lường sự thành công của mỗi tiến trình song song với sự kiểm soát nhằm
giảm lỗi do con người gây ra do vô tình hoặc cố ý.
ITIL có thể được xem như là một thể game tối ưu: mỗi “dịch vụ“ IT được thiết kế
nhằm tiết kiệm chi phí hoặc sinh lợi nhuận, nhưng nó lại cần một khoản chi phí và chi phí
này phụ thuộc vào nhiều yếu tố, chẳng hạn như mức độ hiệu quả và thời gian hồi đáp
mong muốn của dịch vụ.

2.3
2.3.1

CMMI (Capability Maturity Model Integration)
Khái niệm
Mô hình CMMI (Capability Maturity Model Integration) là một khung các giải
pháp tối ưu cho quá trình sản xuất phần mềm, mô tả những giải pháp tốt nhất trong quá
trình kiểm soát, đo lường và kiểm tra các quy trình phát triển phần mềm. Mô hình CMMI
không tập trung mô tả chính các quá trình mà chỉ mô tả đặc điểm của các quá trình hiệu
quả, vì vậy mô hình CMMI đưa ra chỉ dẫn cho các công ty để họ có thể tự mình phát triển
hoặc điều chỉnh chính các quá trình của họ.


2.3.2

Mục đích

6


Mô hình CMMI được mô tả trên trang web chính thức CMMI website :dự án CMMI
là một nỗ lực chung nhằm cung cấp các mô hình để cải thiện nâng cấp các sản phẩm và
quy trình. Trọng tâm chính của dự án là tập trung xây dựng các công cụ hỗ trợ việc cải
thiện các quy trình dùng để phát triển và ổn định các hệ thống và sản phẩm. Kết quả của
dự án CMMI là một bộ các sản phẩm cung cấp một phương pháp tiếp cận tích hợp trên
toàn doanh nghiệp để cải thiện các quy trình sản xuất mà vẫn có thể giảm bớt nhân công
dư thừa, độ phức tạp, và chi phí từ việc sử dụng các mô hình CMM (quy trình quản lý sản
xuất phẩn mềm) riêng lẻ và nhiều mô hình CMM. Công ty sử dụng quy trình này để phát
triển, thu thập và duy trì các sản phẩm và dịch vụ và để làm chuẩn cho chính họ chống lại
các công ty khác. Các quy trình tốt hơn cũng có thể là những quy trình có giá rẻ hơn và
kết quả chất lượng tốt hơn, cũng như là những quy trình này ước tính thời gian thực cho
dự án chính xác hơn.
CHƯƠNG II: CÁC CÔNG CỤ QUẢN TRỊ HỆ THỐNG THÔNG TIN KHÁC
ĐANG ĐƯỢC ỨNG DỤNG Ở VN
1. COSO
1.1 Tổng quan
1.1.1 Khái niệm

"COSO" là viết tắt của Committee Of Sponsoring Organizations - Ban bảo trợ của
các tổ chức -là một ủy ban thuộc Hội đồng quốc gia Hoa kỳ về việc chống gian lận về báo
cáo tài chính (National Commission on Finalcial Reporting, hay còn được gọi là
Treadway Commission).
COSO được thành lập nhằm nghiên cứu về kiểm soát nội bộ, cụ thể là:

Thống nhất định nghĩa về kiểm soát nội bộ để phục vụ cho nhu cầu của các đối
tượng khác nhau.
Công bố đầy đủ một hệ thống tiêu chuẩn để giúp các đơn vị có thể đánh giá hệ thống
kiểm soát của họ và tìm giải pháp để hoàn thiện.
Báo cáo của COSO được công bố dưới tiêu đề: Kiểm soát nội bộ - Khuôn khổ hợp
nhất.
-Thống nhất định nghĩa về kiểm soát nội bộ để phục vụ cho nhu cầu các đối tượng
khác nhau
7


- Công bố đầy đủ 1 hệ thống tiêu chuẩn để giúp các đơn vị có thể đánh giá hệ thống
kiểm soát của họ và tìm giải pháp hoàn thiện.
1.1.2 Đôi nét về công cụ COSO
Ủy ban các tổ chức bảo trợ (COSO) được thành lập vào giữa những năm 1980,
ban đầu để tài trợ cho nghiên cứu về nguyên nhân của các báo cáo tài chính gian lận.
COSO được tổ chức vào năm 1985 để tài trợ cho Uỷ ban quốc gia về báo cáo tài
chính gian lận, khởi đầu cho một lĩnh vực riêng độc lập để nghiên cứu các yếu tố nhân
quả có thể dẫn đến báo cáo tài chính gian lận. Nó cũng được phát triển và khuyên dùng
rộng rãi cho các công ty và kiểm toán độc lập của họ, cho SEC (Ủy ban chứng khoán Mỹ)
hoặc là những người điều khiển khác và cho ngành giáo dục
Ủy ban quốc gia được tài trợ bởi năm tổ chức có trụ sở tại Hoa Kỳ: Hiệp hội Kế toán
Mỹ (AAA), Viện Kế toán viên công chứng Hoa Kỳ (AICPA), Quản trị viên tài chính quốc
tế (FEI), Viện Kiểm toán viên nội bộ (IIA ), và Hiệp hội Kế toán Quốc gia (nay là Viện
Quản lý Kế toán IMA). Mỗi tổ chức hoàn toàn độc lập, Ủy ban bao gồm đại diện từ ngành
công nghiệp, kế toán công khai, các công ty đầu tư và Sở Giao dịch chứng khoán New
York.
Năm 1992, Ủy ban tổ chức bảo trợ của ủy ban Treadway (COSO) công bố nội
Control-Integrated Framework, thường được gọi là COSO Framework. Gần đây, hội đồng
quản trị COSO bắt tay vào một dự án để cập nhật các COSO Framework để phản ánh

những thay đổi trong thế giới kinh doanh trong vòng 20 năm kể từ khi phát hành ban đầu
của nó và ban hành một tài liệu Internal Control-Integrated Framework tháng năm 2013
là bản cập nhật của một tài liệu ban hành trong năm 1992. Để hỗ trợ tài liệu này nó cũng
đã ban hành công cụ minh họa cho việc đánh giá hiệu quả của một Hệ thống kiểm soát
nội bộ, trong đó có ba mẫu để tóm tắt kết quả nghiên cứu. Các khuôn khổ là một tài liệu
quan trọng mà đã được phát hành như một dự thảo vào năm 2012.
1.1.3 Nhiệm vụ
Cung cấp cho lãnh đạo tư tưởng thông qua sự phát triển của các khuôn khổ toàn diện
và hướng dẫn về quản lý rủi ro doanh nghiệp, kiểm soát nội bộ và gian lận răn đe được

8


thiết kế để cải thiện hiệu năng tổ chức và quản trị và giảm mức độ gian lận trong các tổ
chức.
1.1.4 Phiên bản
-1992 - Kiểm soát nội bộ (I /C) - Khung hợp.
Khối lượng khung.
Công cụ đánh giá khối lượng.
-2004 - Quản lý rủi ro doanh nghiệp (ERM) - Tích hợp khung.
1.2 Cấu trúc
1.2.1 ERM- Quản lý rủi ro
Quản lý rủi ro doanh nghiệp (ERM) mô hình COSO đã trở thành một khuôn khổ
chấp nhận rộng rãi cho các tổ chức sử dụng.
COSO định khối lập phương để minh họa cho các liên kết giữa các mục tiêu được
hiển thị trên đầu trang và tám thành phần hiển thị trên các mặt trận, trong đó đại diện cho
những gì là cần thiết để đạt được các mục tiêu. Chiều thứ ba đại diện cho các đơn vị của
tổ chức, trong đó miêu tả khả năng của mô hình để tập trung vào các bộ phận của tổ chức
cũng như toàn bộ.
1.2.2 Môi trường nội bộ

Môi trường nội bộ thiết lập sự hợp tác thành công của tổ chức, ảnh hưởng đến sự rủi
ro, thái độ về quản lý rủi ro và các giá trị đạo đức, bao gồm:
-Triết lí quản lý và phong cách hoạt động.
- Sự trung thực và các giá trị đạo đức.
- Chính sách nhân sự
- Cơ cấu tổ chức...
Sự hợp tác của công ty được thiết lập bởi hội đồng quản trị và các thành viên trong
công ty. Một công ty không ổn định, thiếu kiến thức kỹ thuật và kinh nghiệm, đa dạng và
mạnh mẽ, tự do ngôn luận là không thể thiết lập sự đồng nhất, hợp tác thành công.

9


1.2.3 Đánh giá rủi ro
Không lệ thuộc vào quy mô, cấu trúc, loại hình hay vị trí địa lý, bất kỳ tổ chức,
doanh nghiệp nào trong quá trình sản xuất kinh doanh đều phải đối mặt với rủi ro. Những
rủi ro này có thể do bản thân doanh nghiệp hay từ môi trường kinh tế, chính trị, xã hội
bên ngoài tác động.
Các hướng dẫn COSO nhấn mạnh tầm quan trọng của việc sử dụng một sự kết hợp
của các phương pháp đánh giá rủi ro và định lượng. Cũng như đánh giá mức độ rủi ro cố
hữu, tổ chức cũng cần đánh giá rủi ro dư còn lại sau khi các hành động quản lý rủi ro
được thực hiện.
1.2.4 Hoạt động kiểm soát
Các chính sách và thủ tục hoạt động cần đảm bảo rằng những phản ứng nguy cơ có
hiệu quả.
- Phân chia trách nhiệm đầy đủ.
- Ủy quyền đúng đắn.
- Kiểm soát hệ thống và quá trình xử lí thông tin.
COSO đã bổ sung các mô hình ERM bởi hướng dẫn tại Kiểm soát nội bộ - Tích hợp
Framework. Nó nhấn mạnh rằng hoạt động kiểm soát là một phương tiện để kết thúc các

vấn đề và được thực hiện bởi con người. Các hướng dẫn rõ: "Nó không chỉ đơn thuần về
hướng dẫn sử dụng chính sách, hệ thống và hình thức nhưng mọi người ở mọi cấp độ của
một tổ chức có ảnh hưởng đến kiểm soát nội bộ."
1.2.5 Thông tin và truyền thông
Hệ thống thông tin phải đảm bảo rằng dữ liệu được xác định, lưu trữ và truyền đạt
trong một định dạng và khung thời gian cho phép các nhà quản lý và nhân viên để thực
hiện trách nhiệm của mình.
Các thông tin được cung cấp phải phù hợp với nhu cầu quản lý và có liên quan, chất
lượng hợp lí. Nó cũng phải bao gồm tất cả các mục tiêu hiển thị trên đỉnh của khối này.
1.2.6 Giám sát
Hệ thống quản lý cần được theo dõi và điều chỉnh nếu cần thiết.
10


COSO bổ sung hướng dẫn ERM của nó với sự hướng dẫn cụ thể về giám sát kiểm
soát nội bộ trong năm 2009, dựa trên các nguyên tắc kiểm soát không được giám sát có xu
hướng xấu đi theo thời gian. Tuy nhiên điểm yếu được xác định, hướng dẫn nhấn mạnh
tầm quan trọng của thông tin phản hồi và hành động. Những yếu kém cần được báo cáo,
đánh giá và nguyên nhân gốc rễ của họ sửa chữa.
Các mô hình ERM đã cung cấp một nền tảng cho các tổ chức để quản lý rủi ro hiệu
quả hơn. Tuy nhiên, các nhà quản lý cần phải nhận thức được những hạn chế của quản lý
rủi ro và vị trí mà khiến quá trình có thể thất bại.

1.3 Quy trình
Bước 1: Phát triển nhận thức, giám định, và sự liên kết.
Nâng cao nhận thức là điều ưu tiên hơn cả. Khi con người đã hiểu, đã biết thì mọi
việc sẽ suôn sẻ và dễ tiến tới thành công hơn. Không những phát tiển về nhận thức mà
còn phải phát triển về giám định và sự liên kết, tức là phát triển ở khâu kiểm tra và giữa
các khâu phải có mối liên kết để tạo sự hài hòa, hợp lý.
Bước 2: Tiến hành sơ bộ đánh giá tác động.

Một khi bạn hiểu 2013 Khung COSO, bạn cần để đánh giá như thế nào để sự chuyển
nó sẽ tác động như thế nào tới SOX chương trình tuân thủ hiện tại của bạn.
Để tiến hành đánh giá tác động sơ bộ, bạn nên vẽ bản đồ liệt kê hệ thống hiện tại của
bạn, kiểm soát nội bộ chống lại các COSO khung cập nhật. Điều này sẽ giúp bạn xác định
mức độ của công việc cần thiết để hoàn thành quá trình chuyển đổi
Bước 3: Tạo điều kiện nâng cao nhận thức rộng , đào tạo và đánh giá toàn diện.
Tuỳ theo tính chất và độ phức tạp của tổ chức của bạn, những nỗ lực tuân theo SOX
của bạn có thể xảy ra trực thuộc Trung ương, hoặc có thể có nhiều lớp đánh giá. Dù bằng
cách nào, bạn nên tạo điều kiện mở rộng nhận thức của khung cập nhật COSO và các
poten- tác động tiềm trên chương trình tuân thủ SOX của bạn trong số các bên liên quan,
bao gồm cả ban giám đốc, quản lý cấp cao và các hoạt động, quá trình và xe điều khiển.
Bước 4: Xây dựng và thực thi COSO kế hoạch chuyển tiếp cho SOX.
11


-

GĐ 1: Tài liệu và đánh giá

Cần phải cập nhật định dạng tài liệu cơ bản của bạn, sắp xếp nó vào lập bản đồ mới
được tạo ra trong bước 2. Các tài liệu cơ bản phải hỗ trợ quản lý trong việc đưa ra một
kết luận về tình hình, khả năng của công ty.
-

GĐ 2: Xác nhận kiểm tra.

Cần phải thực hiện SOX kiểm tra xác nhận để đảm bảo các công việc đã được thực
hiện và đang hoạt động như dự kiến. Nếu bạn nhận thấy được sự thiếu sót thì bạn cũng có
thể kịp thời kiểm soát và sửa chữa một cách đơn giản hơn.
-


GĐ 3: Xem xét ngoại và thử nghiệm.

Tại một số điểm, kiểm toán viên bên ngoài của bạn sẽ cần phải đánh giá và đạt được
yêu cầu với chương trình tuân thủ SOX cập nhật của bạn và tài liệu hỗ trợ.
Bước 5: Liên tục cải tiến và nâng cao.
Một khi quá trình chuyển đổi khung giữa các phiên bản trong công việc hoàn tất,
hãy thử thách chính mình để người quản trị liên tục cải thiện và nâng cao hơn. Khi đó
hiệu quả cũng cao hơn, và đương nhiên lợi nhuận và sự ưu thế cũng tăng cao.
1.4 Ưu - nhược điểm
1.4.1 Ưu điểm
- COSO không xác định ai sẽ cung cấp những thông tin gì, chỉ cần quản lý cần được
tiếp nhận và hành động trên thông tin.
- Chứa nhiều thông tin khác nhau.
- Đáp ứng các mục tiêu của tổ chức, đánh giá hợp lí, chính xác.
- Mức độ khác nhau đảm bảo cho các mục tiêu khác nhau
1.4.2 Hạn chế
- Chưa được sử dụng rộng rãi nên kiến thức, sự hiểu biết còn hạn chế.
- Tương lai không chắc chắn.
- Chi phí lớn
- Các mục tiêu phải có sự lựa chọn
- Các câu trả lời có thể đưa đến rủi ro

12


1.5 Ví dụ: Thực hiện khảo sát thực trạng kiểm soát nội bộ thông qua sử dụng đánh
giá công cụ COSO tại các doanh nghiệp vừa và nhỏ ở tỉnh Lâm Đồng.
1.5.1 Mục đích
Tìm hiểu, phân tích và đánh giá hệ thống kiểm soát nội bộ của các doanh nghiệp

được khảo sát theo tiêu chuẩn COSO 1992 và đưa ra giải pháp nhằm hoàn thiện hơn các
doanh nghiệp này.
1.5.2 Đặc điểm thực trạng kiểm soát nội bộ
- Triết lý và phong cách điều hành:
+ Xuất phát từ chính quy mô và đặc điểm hoạt động của các doanh nghiệp.
+ Hầu hết đều thận trọng trong các quyết định kinh doanh, không mạo hiểm mà luôn
tìm kiếm thông tin, quan sát, trao đổi, suy xét khác cẩn thận cân đối giữa chi phí và lợi
nhuận.
- Cơ cấu tổ chức:
Hầu hết là cơ cấu tập quyền, khá phù hợp với quy mô vừa và nhỏ. Hầu hết có tương
đối đầy đủ các phòng ban chức năng, có sơ đồ phân định quyền hạn và trách nhiệm mỗi
phòng ban.
- Đánh giá rủi ro: Gần 60% doanh nghiệp chấp nhận rủi ro ảnh hưởng đến báo cáo
tài chính do chi phí. Cho thấy vì chi phí, doanh nghiệp chấp nhận rủi ro, chấp nhận mục
tiêu của mình bị ảnh hưởng.
- Truyền thông và thông tin: Thông tin của doanh nghiệp được xử lý chủ yếu trên
máy tính, cũng có kết hợp với thủ công
- Giám sát: Các nhà quản lý chưa quan tâm nhiều đến hoạt động giám sát thường
xuyên, hoạt động giám sát định kỳ chưa được chú trọng.
=> Doanh nghiệp đã cố gắng vận dụng lý thuyết kiểm soát nội bộ vào thực tế để
kiểm soát, quản lý các hoạt động của doanh nghiệp mình nhưng mang tính tự phát, không
hệ thống nên mức dộ thành công chưa cao. Hoạt động kiểm soát trong các doanh nghiệp
cũng được quan tâm đầu tư. Tuy nhiên, nguyên tắc cần thiết của kiểm soát là ủy quyền và
phân công, phân nhiệm lại chưa được đảm bảo tốt để thực hiện các nghiệp vụ, hoạt động.
13


1.5.3 Đề xuất giải pháp
- Giải pháp về các quy định vĩ mô:
+ Xây dựng hệ thống:

Cần phải tìm hiểu kinh nghiệm vận dụng kiểm soát nội bộ ở các nước bạn và xây
dựng một hệ thống lý luận phù hợp với thực tiễn Việt Nam, dễ hiểu, phổ biến rộng rãi đến
các doanh nghiệp, đặc biệt là doanh nghiệp vừa và nhỏ.
+ Thể chế hóa những quy định về pháp luật:
Nhà nước cần phải tạo hành lang pháp lí ổn định, bình đẳng giữa các loại hình
doanh nghiệp.
Các bộ luật và văn bản cần được bổ sung, hoàn thiện theo xu hướng đơn giản hóa
nhưng chặt chẽ, không bị chồng chéo, phù hợp với xu thế toàn cầu hóa.
- Giải pháp về phía doanh nghiệp:
+ Nâng cao tính hiệu quả của môi trường: Thiết kế cơ cấu tổ chức hiệu quả; lập bảng
mô tả công việc rõ ràng và đảm bảo được truyền đạt rộng rãi; xây dựng các chính sách
nguồn nhân lực hợp lí.
+ Nâng cao tính hiệu quả của hoạt động đánh giá rủi ro:
Xây dựng các mục tiêu hoạt động cụ thể và phổ biến rộng rãi; sử dụng nhiều phương
pháp khác nhau để nhận dạng và phân tích rủi ro.
+ Nâng cao tính hiệu quả của hoạt động kiểm soát:
Phân định quyền hạn, trách nhiệm và nghĩa vụ rõ ràng, đầy đủ; kiểm soát chặt chẽ
chứng từ và sổ sách; kiểm soát sự xâm nhập về mặt vật lý, bảo vệ phần cứng, phần mềm;
kiểm soát truy cập hệ thống.
+ Nâng cao tính hiệu quả thông tin và truyền thông:
Tổ chức các kênh thông tin hữu hiệu; thực hiện bảo về an toàn thông tin.
+ Tính hiệu quả của hoạt động giám sát:
Thực hiện giám sát thường xuyên, tiếp nhận thông tin phản hồi; thực hiện giám sát
định kì các hoạt động.
2. ISO 9001:2000

14


2.1 Tổng quan

2.1.1 Giới thiệu hệ thống quản lý Chất lượng ISO 9001:2000
- ISO 9001:2000: Hệ thống quản lí chất lượng.
ISO 9001:2000 quy định các yêu cầu đối với hệ thống quản lí chất lượng khi một tổ
chức muốn chứng tỏ năng lực của mình trong việc cung cấp các sản phẩm đáp ứng các
yêu cầu của khách hàng và các yêu cầu chế định tương ứng và nhằm nâng cao sự thỏa
mãn của khách hàng. Đây là tiêu chuẩn được sử dụng để đánh giá hệ thống quản lí chất
lượng của một tổ chức và cấp chứng chỉ phù hợp
- Lịch sử phát triển:
Năm 1955, Hiệp ước Bắc Đại Tây Dương đưa ra các tiêu chuẩn về chất lượng cho
tàu APOLO của Nasa, máy bay Concorde của Anh – Pháp….
Năm 1956, Bộ Quốc Phòng Mỹ thiết lập hệ thống MIL - Q9858, nó được thiết kế
như là một chương trình quản trị chất lượng.
Năm 1968, NATO chấp nhận MIL-Q9858 (Allied Quality Assurance Publiacation 1AQAP-1).
Năm 1969, Anh, Pháp thừa nhận lẫn nhau về tiêu chuẩn quốc phòng với các hệ
thống đảm bảo chất lượng của người thầu phụ thuộc vào các thành viên của NATO.
Năm 1970, Bộ Quốc Phòng Liên Hợp Anh chấp nhận những điều khoản của AQAP1, trong chương trình quản trị tiêu chuẩn quốc phòng, DEF/STAN 05-8.
Năm 1972, Viện tiêu chuẩn Anh (Briitish Standards Institute-BSI) ban hành BS
4891 – Hướng dẫn đảm bảo chất lượng.
Năm 1979, Viện Tiêu Chuẩn Anh đã phát triển BS4891 thành BS5750, hệ thống tiêu
chuẩn chất lượng quản trị đầu tiên trong thương mại. Đây chính là tiền thân của ISO 9001
sau này.
Năm 1987, tổ chức quốc tế về tiêu chuẩn hóa (ISO) chấp nhận hầu hết các yêu cầu
trong tiêu chuẩn BS5750, và dựa vào đó để ban hành bộ tiêu chuẩn ISO 9000, bộ tiêu
chuẩn ISO 9000 được xem là những tài liệu tương đương như nhau trong áp dụng các tiêu
chuẩn chất lượng quản trị, bộ tiêu chuẩn này bao gồm:

15


1.


ISO 9001:1987 với tên gọi: Mô hình đảm bảo chất lượng trong thiết kế/triển khai,
sản xuất, lắp đặt và dịch vụ kỹ thuật (Model for quality assurance in design, development,
production, installation and servicing).

2.

ISO 9002:1987 với tên gọi: Mô hình đảm bảo chất lượng trong sản xuất, lắp đặt và
dịch vụ kỹ thuật (Model for quality assurance in production, installation and servicing).

3.

ISO 9003:1987 với tên gọi: Mô hình đảm bảo chất lượng trong kiểm tra và thử
nghiệm cuối cùng (Model for quality assurance in final inspection and test).
Năm 1994, các tiêu chuẩn ISO 9001, ISO 9002, ISO 9003 được tổ chức ISO sửa đổi,
lần sửa đổi này nhấn mạnh vào đảm bảo chất lượng thông qua hành động phòng ngừa,
thay vì chỉ kiểm tra sản phẩm cuối cùng và tiếp tục yêu cầu bằng chứng về sự tuân thủ các
tài liệu. Thuật ngữ “hệ thống chất lượng” (Quality systems) cũng được đưa vào tên gọi
của các tiêu chuẩn để nhấn mạnh ý tưởng đảm bảo chất lượng.

4.

ISO 9001:1994 với tên gọi: Hệ thống chất lượng - Mô hình đảm bảo chất lượng
trong thiết kế/triển khai, sản xuất, lắp đặt và dịch vụ kỹ thuật (Quality systems -- Model
for quality assurance in design, development, production, installation and servicing).

5.

ISO 9002:1994 với tên gọi: Hệ thống chất lượng – mô hình đảm bảo chất lượng
trong sản xuất, lắp đặt và dịch vụ kỹ thuật (Quality systems -- Model for quality assurance

in production, installation and servicing).

6.

ISO 9003:1987 với tên gọi: Hệ thống chất lượng - Mô hình đảm bảo chất lượng
trong kiểm tra và thử nghiệm cuối cùng (Quality systems – Model for quality assurance in
final inspection and test).
Năm 2000, tổ chức ISO hợp nhất 3 tiêu chuẩn ISO 9001:1994, ISO 9002:1994, ISO
9003:1994 thành một tiêu chuẩn ISO 9001:2000. Doanh nghiệp chỉ áp dụng thủ tục thiết
kế và phát triển khi trong thực tế Doanh nghiệp có tham gia thực hiện thiết kế sản phẩm
mới. Phiên bản ISO 9001:2000 đã thay đổi tư duy căn bản bằng cách đưa vào khái niệm
“quản lý theo quá trình” và xem khái niệm này là trung tâm của tiêu chuẩn. ISO
9001:2000 sử dụng kiểm soát quá trình để theo dõi, đo lường và tối ưu các nhiệm vụ và
hoạt động của Doanh nghiệp thay vì kiểm tra sản phẩm cuối cùng. Phiên bản 2000 của
ISO 9001 cũng yêu cầu sự tham gia của Lãnh đạo cao nhất, thông qua đó Lãnh đạo cao
16


nhất sẽ tích hợp hệ thống quản lý chất lượng vào các hệ thống kinh doanh hiện tại, tránh
trường hợp nhiều hệ thống chồng chéo cùng tồn tại trong một doanh nghiệp. Mong đợi
của tổ chức ISO đối với các Doanh nghiệp trong việc tăng cường cải tiến liên tục hệ thống
và tăng sự hài lòng của khách hàng thông qua việc theo dõi và đo lường mức độ hài lòng
của khách hàng cũng được thể hiện rõ ràng trong phiên bản này.
2.1.2

Các phiên bản
ISO 9001:1987: Quản lý chất lượng - Mô hình đảm bảo chất lượng trong thiết

kế/triển khai, sản xuất, lắp đặt và dịch vụ kỹ thuật
ISO 9001:1994 :Tiêu chuẩn Việt Nam tương đương: TCVN ISO 9001:1996 Quản lý

chất lượng - Mô hình đảm bảo chất lượng trong thiết kế, triển khai, sản xuất, lắp đặt và
dịch vụ kỹ thuật
ISO 9001:2000 :Quản lý chất lượng - Các yêu cầu
ISO 9001:2008 Quality :Tiêu chuẩn Việt Nam tương đương: TCVN ISO 9001:2008
Quản lý chất lượng - Các yêu cầu. Đây là phiên bản hiện hành của ISO 9001.
2.1.3 Nhiệm vụ của ISO
Thúc đẩy sự phát triển về vấn đề tiêu chuẩn hoá nhằm tạo điều kiện thuận lợi cho
việc trao đổi hàng hóa, dịch vụ quốc tế. Với ích lợi và tính hiệu quả của việc áp dụng ISO,
ngày nay người ta mở rộng phạm vi áp dụng cho mọi tổ chức không phân biệt loại hình,
quy mô và sản phẩm vào cả lĩnh vực quản lý hành chính, sự nghiệp.
2.1.4 Tư tưởng
* Tư tưởng của ISO là sự duy trì.
+ Tư tưởng của ISO thể hiện qua những đặc tính yêu cầu thông tin, khi đạt được
những yêu cầu đó nghĩa là đã đảm bảo được sự hoạt động liên tục và duy trì mức độ điều
khiển sử dụng và an toàn thông tin.
+ Tính bảo mật: đảm bảo thông tin chỉ được truy cập bởi những truy cập cho phép.
Quản lý thông tin một cách chặt chẽ, phân quyền và kiểm soát việc truy suất thông tin.
Không để mất mát thông tin.
+ Tính toàn vẹn: bảo vệ tính chính xác, đầy đủ của thông tin cũng như các phương
pháp xử lý. Đảm bảo thông tin khi cần là có, hoạt động mới tiến hành liên tục được.
17


+ Sẵn sàng: đảm bảo những người dung hợp pháp mới được truy cập các thông tin
và tài sản liên quan khi có yêu cầu. Mọi hoạt động đều được duy trì và sẵn sàng hoạt động
bất cứ khi nào.
An toàn thông tin đạt được bằng cách triển khai tập hợp các nguyên tắc quản lý phù
hợp, đó có thể là các chính sách, các nguyên tắc, các thủ tục, các cơ cấu tổ chức và các
chức năng phần mềm. các nguyên tắc quản lý này cần được thiết lập nhằm đưa ra được
đầy đủ các đối tượng của tỏ chức cần được bảo vệ.

2.1.5

Các lợi ích mà ISO 9001 -2000 đem lại cho doanh nghiệp
Một số lợi ích khi áp dụng ISO 9001:2000 là:
- Nâng cao sự thỏa mãn của khách hàng và các bên liên quan thông qua nhận biết và

đáp ứng các yêu cầu của họ.
- Tăng thị phần và lợi nhuận.
- Đáp ứng các yêu cầu bắt buộc của một số khách hàng, thị trường.
- Giảm lãng phí do các sai hỏng.
- Giảm chi phí và rủi ro.
- Tăng tinh thần và thái độ làm việc và sự thỏa mãn của cán bộ công nhân viên.
- Tăng uy tín thương hiệu.
Đặc biệt, đối với các doang nghiệp Việt Nam vốn chưa có nhiều kinh nghiệm với
các hệ thống quản lí tiên tiến, việc áp dụng ISO 9001:2000 còn mang lại các lợi ích sau:
- Hệ thống quản lí được mô tả và hiểu một cách thống nhất và rõ ràng.
- Các quá trình tạo ra giá trị gia tăng của tổ chức được nhận biết, khả năng giảm
thiểu các hoạt động không cần thiết.
- Việc phân công công việc, trách nhiệm và quyền hạn được quy định rõ ràng, giảm
sự mâu thuẫn và chồng chéo.
- Khả năng tiêu chuẩn hóa và áp dụng các cách làm việc hợp lí, giảm sự ngẫu hứng
và tùy tiện.
- HTQLCL ISO 9001:2000 được thiết lập một cách hữu hình tăng cường kỷ luật
thực hiện, duy trì và cải tiến.

18


2.2 Cấu trúc


2.2.1 Thành phần
Bộ tiêu chuẩn ISO 9001:2000 bao gồm 4 tiêu chuẩn:
 ISO 9000: Cơ sở và từ vựng.
 ISO 9001: Các yêu cầu đối với hệ thống quản lý chất lượng mà doanh nghiệp

cần phải đáp ứng, làm cơ sở đánh giá Chứng nhận.
 ISO 9004: Hướng dẫn cải tiến nâng cao hiệu lực, hiệu quả của hệ thống.
 ISO 19011: Hướng dẫn đánh giá hệ thống quản lý.
2.2.2

Phạm vi áp dụng
Một hệ thống quản lí chất lượng phù hợp với tiêu chuẩn ISO 9001:2000 là một hệ

thống được thiết lập, được văn bản hóa và phải chứng tỏ được tính hiệu lực (đưa được
bằng chứng khách quan, có thể kiểm tra xác nhận) trong việc duy trì thực hiện, liên tục
cải tiến và đáp ứng các yêu cầu của khách hàng.
Các yêu cầu trong tiêu chuẩn này mang tính tổng quát và nhằm để áp dụng cho mọi
tổ chức không phân biệt vào loại hình, quy mô và sản phẩm cung cấp.
Khi có yêu cầu nào đó của tiêu chuẩn này không thể áp dụng được do bản chất của
tổ chức và sản phẩm của mình, có thể xem xét yêu cầu này như một ngoại lệ
Khi có ngoại lệ, việc được công bố phù hợp với tiêu chuẩn này không được chấp
nhận trừ phi các ngoại lệ này được giới hạn trong phạm vi điều 7, và các ngoại lệ này
không ảnh hưởng đến khả năng hay trách nhiệm của tổ chức trong việc cung cấp các sản
phẩm đáp ứng các yêu cầu của khách hàng và các yêu cầu thích hợp.
2.2.3

Nội dung quy trình
Quá trình xây dựng các tiêu chuẩn ISO phải tuân theo các nguyên tắc cơ bản sau:
+ Sự nhất trí: ISO quan tâm đến quan điểm của các phía có quan tâm: nhà sản xuất,


người bán hàng, người sử dụng, các nhóm tiêu thụ, các phòng kiểm nghiệm, các chính
phủ, các nhà kỹ thuật và các cơ quan nghiên cứu.
+ Qui mô: dự thảo các tiêu chuẩn phù hợp với yêu cầu của các ngành và khách hàng
trên toàn thế giới.
+ Tự nguyện: việc tiêu chuẩn hóa chịu tác động của thị trường và do đó nó dựa trên
sự tự nguyện thực hiện của tất cả các bên có quan tâm.
19


2.2.4

Mục đích kiểm soát
Cung cấp cơ sở chung cho việc phát triển các chuẩn an ninh tổ chức và thực tiễn

quản lý an ninh một cách hiệu quả, đồng thời cung cấp sự tin cậy trong các mối quan hệ
của tổ chức.
2.3 Quy trình làm việc
Cách thức xây dựng quy trình: Các tiêu chuẩn quốc tế do các ủy ban kỹ thuật của ISO xây
dựng và được thực hiện qua 5 bước.
1. Đề nghị:
- Xác nhận nhu cầu ban hành một tiêu chuẩn mới.
- Đề nghị một vấn đề mới được đưa ra để các ủy ban và tiểu ban kỹ thuật có liên
quan thảo luận và lựa chọn
- Đề nghị được chấp thuận nếu đa số thành viên của ủy ban hay tiểu ban kỹ thuật
đồng ý và có ít nhất 5 thành viên cam kết tham gia tích cực vào đề án.
2. Chuẩn bị :
Các chuyên gia trong nhóm cộng tác xây dựng một bản dự thảo tiêu chuẩn được đề
nghị. Khi nhóm cho rằng bản dự thảo đã tương đối hoàn thiện thì nó được đưa ra thảo
luận trong các ủy ban và tiểu ban.
3. Thảo luận :

Dự thảo được đăng ký bởi ban thư ký trung tâm của ISO và được phân phát cho các
thành viên tham gia trong các ủy ban và tiểu ban chuyên môn để lấy ý kiến. Dự thảo được
tuần tự xem xét cho đến khi đạt được sự nhất trí về nội dung. Sau đó là giai đoạn dự thảo
tiêu chuẩn quốc tế.
4. Phê chuẩn :
Bản dự thảo tiêu chuẩn quốc tế được chuyển tới tất cả các cơ quan thành viên của
ISO để thu thập ý kiến trong 6 tháng. Nó được phê chuẩn và được coi là tiêu chuẩn quốc
tế nếu được 3/4 thành viên của ủy ban hay tiểu ban kỹ thuật đồng ý và chỉ có dưới 1/4
phiếu chống. Nếu cuộc biểu quyết không thành, bản tiêu chuẩn quốc tế dự thảo được trả
lại ủy ban kỹ thuật để xem xét lại.
5. Công bố :
20


Nếu tiêu chuẩn được phê chuẩn, người ta chuẩn bị văn bản chính thức kết hợp với
các ý kiến đóng góp khi biểu quyết. Văn bản chính thức được gởi tới ban thư ký trung tâm
của ISO. Cơ quan này sẽ công bố.
2.4 Ví dụ về doanh nghiệp áp dụng ISO 9001 – 2000
Hiện nay, có khá nhiều doanh nghiệp Việt Nam xây dựng và áp dụng hệ thống quản
lý chất lượng theo tiêu chuẩn ISO 9001:2000
Tổng Công ty Thương mại Hà Nội (Hapro) là doanh nghiệp nhà nước được thành
lập theo Quyết định số 125/2004/QD-UBND ngày 11 tháng 08 năm 2004 của UBND
Thành phố Hà Nội. Tổng Công ty hoạt động theo mô hình Công ty mẹ - Công ty con với
33 công ty thành viên, có thị trường tại hơn 60 nước và vùng lãnh thổ trên thế giới.
Thành tích mà công ty đã đạt được khi áp dụng ISO 9001:2000 là:
Về doanh thu, cho đến nay việc áp dụng ISO 9001:2000 công ty Hapro đã đạt được
những thành tích đáng ghi nhận, doanh thu qua các năm tăng nhanh, kim ngạch xuất khẩu
tăng đều qua các năm.
Về thị trường: tăng cường một số thị trường xuất khẩu mới như Trung Đông, Mĩ
Latinh, châu Phi, đẩy mạnh phát triển hệ thống bán lẻ theo chiều sâu, chuyên môn hoá,

tăng cường xây dựng thương hiệu…
3. Quản trị chất lượng ISO 27001
3.1 Tổng quan
3.1.1 Giới thiệu ISO 27001
ISO 27001 là một tiêu chuẩn quốc tế đưa ra các yêu cầu liên quan đến Hệ Thống
Quản Lý Bảo Mật Thông Tin (viết tắt là ISMS), cho phép tổ chức doanh nghiệp đánh giá
được những rủi ro và thực hiện kiểm soát thích hợp để bảo toàn tính bảo mật, toàn vẹn và
sẵn có của tài sản thông tin.
Mục đích chính là bảo vệ thông tin của tổ chức doanh nghiệp, không để rơi vào tay
người lạ hay bị thất lạc vĩnh viễn.
-

Lịch sử phát triển của ISO 27001

21


ISO 27001 ban đầu được phát triển trên chuẩn BS7799 của Viện các chuẩn Anh
Quốc (British Standards Institution BSI). BS7799 bắt đầu phát triển từ những năm 1990
nhằm đáp ứng các yêu cầu cho doanh nghiệp, chính phủ và công nghiệp về việc thiết lập
cấu trúc an ninh thông tin chung. Năm 1995, chuẩn theo BS7799 đã được chính thức công
nhận.
Tháng 5 năm 1999 phiên bản chính thứ 2 của chuẩn BS7799 được phát hành với
nhiều cải tiến chặt chẽ. Trong thời gian này Tổ chức thế giới về chuẩn (ISO) đã bắt đầu
quan tâm đến chuẩn này. Tháng 12 năm 2000, ISO đã tiếp quản phần đầu của BS7799,
đổi tên thành ISO 17799 và như vậy chuẩn an ninh thông tin này bao gồm ISO 17799 (mô
tả Qui tắc thực tế cho hệ thống quản lý an ninh thông tin) và BS7799 (đặc tính kỹ thuật
cho hệ thống an ninh thông tin. Trong tháng 9 năm 2002, soát xét phần 2 của chuẩn
BS7799 được thực hiện để tạo sự nhất quán với các chuẩn quản lý khác như ISO
9001:2000 và ISO 14001:1996 cũng như với các nguyên tắc chính của Tổ chức Hợp tác

và phát triển kinh tế (OECD).
Ngày 15 Tháng 10 năm 2005 ISO phát triển ISO 17799 và BS7799 thành ISO
27001:2005 và chú trọng vào công tác đánh giá và chứng nhận. ISO 27001 thay thế một
cách trực tiếp cho BS7799-2:2002, nó định nghĩa hệ thống ISMS và hướng đến cung cấp
một mô hình cho việc thiết lập, thi hành, điều hành, kiểm soát, xem xét, duy trì và cải tiến
ISMS.
3.1.2 Các phiên bản

ISO/ IEC 27001: 2005
ISO / IEC 27001:2013
ISO / IEC 27002:2013
3.1.3 Nhiệm vụ
Thúc đẩy sự phát triển về vấn đề tiêu chuẩn hoá nhằm tạo điều kiện thuận lợi cho
việc trao đổi hàng hóa, dịch vụ quốc tế.
3.1.4 Tư tưởng
-

Tư tưởng của ISO là sự duy trì.

22


+ Tư tưởng của ISO thể hiện qua những đặc tính yêu cầu thông tin, khi đạt được
những yêu cầu đó nghĩa là đã dảm bảo được sự hoạt động lien tục và duy trì mức độ điều
khiển sử dụng và an toàn thông tin.
+ Tính bảo mật: đảm bảo thông tin chỉ được truy cập bởi những truy cập cho phép.
Quản lý thông tin một cách chặt chẽ, phân quyền và kiểm soát việc truy suất thông tin.
Không để mất mát thông tin.
+ Tính toàn vẹn: bảo vệ tính chính xác, đầy đủ của thông tin cũng như các phương
pháp xử lý. Đảm bảo thông tin khi cần là có, hoạt động mới tiến hành liên tục được.

+ Sẵn sàng: đảm bảo những người dung hợp pháp mới được truy cập các thông tin
và tài sản liên quan khi có yêu cầu.Mọi hoạt động đều được duy trì và, sẵn sàng hoạt động
bất cứ khi nào.
An toàn thông tin đạt được bằng cách triển khai tập hợp các nguyên tắc quản lý phù
hợp, đó có thể là các chính sách, các nguyên tắc, các thủ tục, các cơ cấu tổ chức và các
chức năng phần mềm. các nguyên tắc quản lý này cần được thiết lập nhằm đưa ra được
đầy đủ các đối tượng của tỏ chức cần được bảo vệ
3.1.5 Các lợi ích mà ISO 27001 đem lại cho doanh nghiệp


Sự liên tục trong kinh doanh



Đánh giá được mối nguy và triển khai được các phương pháp để giảm bớt ảnh hưởng



An ninh được cải thiện



Kiếm soát việc truy cập



Tiết kiệm chi phí




Tạo ra một quá trình quản lý nội bộ



Tuyên truyền cam kết của bạn để bảo vệ dữ liệu của khách hàng.



Chứng minh được rằng bạn tuân thủ các quy định pháp luật



Xác định được rằng các lãnh đạo cấp cao thực sự nghiêm túc trong việc bảo mật dữ liệu.



Đánh giá thường xuyên để duy trì hiệu quả bảo mật



Cung cấp chứng nhận độc lập
Đánh giá liên tục giành lợi thế cạnh tranh
Nếu tổ chức bạn đạt được chứng nhận ISO 27001, khách hàng của bạn tin tưởng khi
biết rằng những mối rủi ro về an ninh đều được đánh giá và giảm thiểu và tổ chức của bạn

23


cũng có sẵn những hệ thống để bảo vệ và khôi phục thông tin nhanh chóng trong trường
hợp mất dữ liệu.

Một quá trình cải tiến liên tục sẽ đem lại cho tổ chức của bạn những công cụ quản lý
cần thiết để giám sát và cải tiến vấn đề an ninh của những thông tin giá trị của tổ chức
bạn.
3.2 Cấu trúc
3.2.1 Thành phần

Về cấu trúc, tiêu chuẩn ISO/IEC 27001 bao gồm các yêu cầu được sắp xếp theo trật
tự các điều khoản như:






Hệ thống quản lý an ninh thông tin
Trách nhiệm lãnh đạo
Đánh giá nội bộ ISMS
Xem xét lãnh đạo ISMS
Cải tiến ISMS.
3.2.2 Phạm vi áp dụng
Tiêu chuẩn này có thể áp dụng rộng rãi cho nhiều loại hình cơ quan/tổ chức khác
nhau như tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận..
ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù hợp và đầy đủ để
bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác
khách hàng…….
Các yêu cầu của tiêu chuẩn này là mang tính tổng quát nhằm ứng dụng rộng rãi cho
nhiều loại hình tổ chức khác nhau.
3.2.3 Nội dung quy trình
Tiêu chuẩn xác định rõ yêu cầu cho từng quá trình: thiết lập; triển khai; điều hành;
giám sát; bảo trì và nâng cấp một hệ thống quản lý an toàn thông tin (ISMS) để bảo vệ hệ

thống thông tin và chủ động chuẩn bị các phương án xử lý trước những rủi ro có thể xảy
ra. Tiêu chuẩn này chỉ rõ các yêu cầu khi thực hiện các mục tiêu và biện pháp quản lý đã
được chọn lọc phù hợp cho tổ chức hoặc các bộ phận.
Các yêu cầu được trình bày trong tiêu chuẩn mang tính tổng quát và nhằm ứng dụng
rộng rãi cho nhiều loại hình cơ quan/tổ chức khác nhau. Nội dung tiêu chuẩn bao gồm các
phần chính:
24


- Hệ thống quản lý an toàn thông tin
- Trách nhiệm của lãnh đạo
- Đánh giá nội bộ hệ thống ISMS
- Soát xét hệ thống
- Cải tiến hệ thống
Tiêu chuẩn này hoàn toàn tương thích với các tiêu chuẩn quản lý khác như ISO
9001:2000 và ISO 14001:2004, đảm bảo sự thống nhất và thành công khi triển khai cùng
lúc các tiêu chuẩn quản lý khác nhau.
3.2.4 Mục đích kiểm soát
Cung cấp cơ sở chung cho việc phát triển các chuẩn an ninh tổ chức và thực tiễn
quản lý an ninh một cách hiệu quả, đồng thời cung cấp sự tin cậy trong các mối quan hệ
của tổ chức.
3.3 Quy trình làm việc
Về cơ bản, các bước triển khai hệ thống ISO/IEC 27001 có nhiều điểm tương đồng
với áp dụng ISO 9000 & ISO 14000… Tuy nhiên, đây là hệ thống quản lý an toàn thông
tin nên có một số điểm cần chú trọng khi xây dựng như: xác định đầy đủ các tài sản thông
tin, nhận biết và đánh giá mối nguy, lựa chọn các biện pháp xử lý mối nguy thích hợp…
Các bước cơ bản cần thực hiện để đạt được chứng nhận hệ thống quản lý an toàn
thông tin ISO/IEC 27001:
1) Cam kết của Lãnh đạo về xây dựng hệ thống quản lý an toàn thông tin cho tổ
chức.

2) Phổ biến, đào tạo nhận thức về tiêu chuẩn ISO/IEC 27001 cho cán bộ.
3) Thiết lập hệ thống tài liệu theo yêu cầu tiêu chuẩn ISO/IEC 27001.
4) Xây dựng chính sách, mục tiêu và phạm vi của hệ thống ISMS
5) Phân tích, đánh giá các rủi ro về an toàn thông tin trong phạm vi của hệ thống.
6) Thiết lập các biện pháp kiểm soát rủi ro.
7) Lựa chọn mục tiêu và các biện pháp kiểm soát.
8) Vận hành hệ thống ISMS đã thiết lập.
9) Thực hiện các hoạt động xem xét và cải tiến hiệu lực hệ thống.
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×