Trong buổi họp ME tại Hạ Long giữa năm 2005, Ban lãnh đạo đã quyết định thành lập dự án triển khai quy trình bảo mật thông tin tại Fsoft Hà Nội và phải đạt được chứng chỉ BS7799. Quản trị dự án là anh HungP (Phạm Hùng), còn tôi được chỉ định làm backup cho anh Hùng. Thành viên dự án còn có NamDV, HienTT, HaPTT (thư ký dự án) và các GL, các trưởng ban khối BA. Anh RAU là cố vấn và chỉ đạo nhóm dự án.
Thực ra khi chúng tôi nhận nhiệm vụ thì chẳng có ai hiểu gì về quy trình bảo mật thông tin. Mọi người vẫn nghĩ rằng chắc chỉ liên quan chủ yếu đến kỹ thuật về mạng, máy chủ như phải mua sắm nhiều thiết bị hiện đại để làm Firewall, VPN, FTP, Website, File server… Thế nhưng khi bắt tay vào làm mới biết nó liên quan nhiều đến quy trình hơn là kỹ thuật.
 |
Việc đầu tiên là chúng tôi phải đọc tài liệu về BS7799 để hiểu xem quy trình yêu cầu làm những việc gì và triển khai các quy trình đó vào thực tế thế nào. Phần nhiều nhất thuộc về IT do tôi chịu trách nhiệm. Tiếp đến là phần về Admin do NamDV phụ trách. Ngòai ra còn phần đánh giá rủi ro do anh HungP và phần quy trình do HienTT lo. Sau cả tháng đọc tài liệu, thú thực tôi cũng chẳng hiểu gì cả. Ngòai chuyện khó về từ kỹ thuật bằng tiếng Anh, chúng tôi gặp khó khăn nhất là không hiểu context nên không rõ được yêu cầu.
Chúng tôi không biết hỏi ai vì chưa có ai đã từng làm về quy trình bảo mật thông tin thế này. Thế là anh em chúng tôi phải tự mò mẫm đi, dò đá qua sông. Lúc này người bạn mà tôi hay hỏi nhất là Google. Sau khi đọc được một số tài liệu tham khảo của các công ty khác thì tôi mới hình dung ra phải làm như thế nào. Tuy vậy các tài liệu được công bố trên Internet thì rất sơ sài, chung chung, chắc là vì lý do bảo mật.
Bước tiếp theo là chúng tôi phải xây dựng hệ thống tài liệu bao gồm các policy, procedure, guideline, template. Tài liệu về IT là nhiều nhất, chiếm 2/3 tổng số quy trình bảo mật thông tin. Sau khi copy/paste trên mạng về tôi cũng có được tài liệu về phần IT. Gửi cho mọi người review như IT HO, IT HCM, IT FIS thì cũng chỉ nhận được rất ít ý kiến đóng góp. Lý do là tài liệu dài viết bằng tiếng Anh nên mọi người ngại xem xét kỹ, hơn nữa đây là các khái niệm hòan tòan mới nên ít người nắm được.
Sau đó chúng tôi phải nhờ các chuyên gia TUV review. Họ trả lời là tài liệu không đạt yêu cầu, viết gì họ không hiểu. Lúc này tôi rất hoang mang, mà sức ép về thời gian là rất lớn. Chúng tôi phải nhanh chóng hòan thành bộ tài liệu để còn ban hành và thực hiện theo. Lúc này tôi phải cầu cứu anh RAU. Anh đọc qua tài liệu tôi viết và cũng bảo chẳng hiểu gì, tài liệu không theo format gì cả. Anh hướng dẫn tôi cách viết đơn giản, theo format chung của QA, viết thế nào để anh em IT đọc xong cũng có thể thực hiện theo được.
Anh RAU bắt tôi ở nhà 2 tuần để hòan thành bộ tài liệu. Lo các công việc khác của IT, nên tôi muốn lên công ty để viết. Anh không đồng ý, anh bảo thế thì cho tôi 2 tuần ra nhà nghỉ để viết tài liệu. Lúc này tôi đành chấp nhận không lên công ty mà ở nhà làm việc. Sau 2 tuần thì bộ tài liệu cũng xong. Khi review tài liệu thì các chuyên gia TUV đánh giá tốt hơn rất nhiều, chỉ phải chỉnh sửa một số lỗi nhỏ thôi.
Viết xong tài liệu, chúng tôi bắt tay vào triển khai và áp dụng cho FSOFT Hà Nội. Tuy cũng gặp nhiều khó khăn nhưng tôi thấy không nản bằng thời gian đầu để hiểu quy trình và viết tài liệu. Thế là chỉ sau 5 tháng FSOFT đã đạt được chứng chỉ BS 7799-2:2002 vào tháng 1 năm 2006. Theo đánh giá của các chuyên gia TUV, đây là một kỷ lục về thời gian ngắn mà chưa công ty nào làm được. Fsoft là công ty đầu tiên đạt được chứng chỉ bảo mật thông tin tại Việt Nam.
Năm sau đó 2007, đoàn đánh giá TUV lại đến tái đánh giá định kỳ hàng năm. Lần này đội dự án đã có kinh nghiệm hơn nên việc đánh giá không nhiều khó khăn như lần đầu nữa. FSOFT lần này đã đạt chứng chỉ ISO 27001:2005.
FPT Software
Ý kiến
()