Quản lý chất lượng sản phẩm, dịch vụ an toàn thông tin - vai trò quan trọng của 3 bên

An toàn thông tin - Ngày đăng : 09:00, 14/04/2023

Kinh doanh sản phẩm, dịch vụ về an toàn thông tin mạng (ATTTM) không có khoảng trống dành cho những đối tác nghiệp dư và chất lượng sản phẩm, dịch vụ là yếu tố quyết định sự tồn tại của doanh nghiệp (DN) trên thị trường.
An toàn thông tin

Quản lý chất lượng sản phẩm, dịch vụ an toàn thông tin - vai trò quan trọng của 3 bên

Ngô Tùng Lâm – Cục An toàn thông tin 14/04/2023 09:00

Kinh doanh sản phẩm, dịch vụ về an toàn thông tin mạng (ATTTM) không có khoảng trống dành cho những đối tác nghiệp dư và chất lượng sản phẩm, dịch vụ là yếu tố quyết định sự tồn tại của doanh nghiệp (DN) trên thị trường.

Tóm tắt:

- Sự phát triển nhanh chóng của thị trưởng sản phẩm, dịch vụ ATTTM đặt ra bài toán cấp thiết về quản lý chất lượng sản phẩm, dịch vụ.

- Để sản phẩm, dịch vụ ATTTM đạt chất lượng, cần sự vào cuộc của cả Nhà nước, DN và người sử dụng, cụ thể:

+ Vai trò chủ động của DN: Công tác quản lý chất lượng sản phẩm, dịch vụ cần được DN phát triển quan tâm từ khâu thiết kế, phát triển sản phẩm, dịch vụ.

+ Vai trò của cơ quan quản lý nhà nước (QLNN): Ban hành và thực thi các chính sách, tiêu chuẩn, quy chuẩn; hỗ trợ DN phát triển.

+ Vai trò của người sử dụng: Người sử dụng đánh giá chất lượng sản phẩm thông qua trải nghiệm tiêu dùng. Do đó, tiếp nhận phản hồi, đánh giá của người sử dụng là một phần quan trọng và không thể thiếu trong hoạt động quản lý chất lượng sản phẩm, dịch vụ ATTTM.

Việc hướng tới các tiêu chuẩn, yêu cầu kỹ thuật của quốc tế để đưa vào áp dụng trong nước là xu hướng quan trọng trong hội nhập quốc tế về ATTTM, hướng tới việc sớm có các sản phẩm Make in Viet Nam đạt chất lượng tốt, cung cấp ra thị trường quốc tế, đưa con thuyền ATTTM của quốc gia vươn ra biển lớn.

Trong những năm vừa qua, thị trường kinh doanh sản phẩm, dịch vụ ATTTM tại Việt Nam đã có những bước phát triển nhanh chóng với sự tham gia của các DN trong nước và quốc tế. Có thể nói, sản phẩm, dịch vụ ATTTM tại thị trường trong nước đã trở nên rất đa dạng và nhiều sự lựa chọn cho người sử dụng. Việt Nam cũng đã có những DN sản xuất được những sản phẩm chất lượng cao, được quốc tế công nhận với những cái tên quen thuộc trên thị trường như: Viettel, CMC, CyRadar, VNPT-IT, BKAV, FPT...

Theo số liệu ghi nhận của Cục An toàn thông tin (ATTT) - Bộ Thông tin và Truyền thông (TT&TT), tổng doanh thu của các DN được cấp phép liên tục đạt mức tăng trưởng trên 30% trong vòng 3 năm trở lại đây. Việc thị trường không ngừng tăng trưởng cho thấy tiềm năng phát triển sản phẩm, dịch vụ ATTTM tại Việt Nam còn rất lớn và phản ánh hiệu quả của các chính sách QLNN trong công tác thúc đẩy đảm bảo ATTTM tại Việt Nam. Việc thị trường này càng mở rộng cũng nảy sinh những bài toán mới cần được giải quyết, đặc biệt là bài toán về quản lý chất lượng.

attt-2.png

Tính đến hết năm 2022, doanh thu hoạt động kinh doanh sản phẩm, dịch vụ ATTTM ước đạt 3.319 tỷ đồng. Trong đó, doanh thu hoạt động cung cấp dịch vụ ATTTM đạt 1.991 tỷ đồng, chiếm 70% tổng doanh thu. Tỷ lệ các chủng loại sản phẩm, giải pháp ATTTM do DN Việt Nam sản xuất đạt 95,5%. Xét về quy mô so với thị trường công nghiệp công nghệ thông tin – truyền thông (ICT) với mức doanh thu năm 2022 ước đạt 148 tỷ USD thì thị trường sản phẩm, dịch vụ ATTTM vẫn còn là một con số khá khiêm tốn nhưng mức tăng trưởng hàng năm trên 30% nói lên tiềm năng hứa hẹn của thị trường này. Đây cũng là thời điểm thích hợp để đưa ra và tìm phương án giải quyết bài toán về quản lý chất lượng, đảm bảo tính ổn định và phát triển bền vững của thị trường.

Loại hình kinh doanh sản phẩm, dịch vụ ATTTM khá đặc thù do đó, tính chất của sản phẩm, dịch vụ trong lĩnh vực này cũng khác biệt. Sản phẩm, dịch vụ đưa ra thị trường, cung cấp cho người sử dụng (NSD) thường có kết quả gần như ngay lập tức. Đối tượng sử dụng sản phẩm có thể đánh giá hiệu quả và chất lượng sản phẩm trong khoảng thời gian sử dụng rất ngắn. Do đó, tính cạnh tranh về chất lượng sản phẩm của các DN kinh doanh trong lĩnh vực này là rất cao.

Bên cạnh đó, đối diện với các rủi ro, mối nguy hại trên không gian mạng thì các sản phẩm trong nước hay quốc tế đều phải giải quyết những vấn đề tương tự nhau. Người làm an toàn thông tin không có giới hạn về biên giới quốc gia bởi mối nguy hại có thể đến từ bất kỳ đâu trên toàn cầu. Đây là cơ hội và cũng là thách thức lớn cần phải vượt qua. Vì vậy, tạo ra những sản phẩm, dịch vụ tốt thì DN mới có thể tồn tại, chất lượng sản phẩm, dịch vụ quyết định sự tồn vong của DN và cần được chú trọng ở mức cao nhất.

Để giải được bài toán về quản lý chất lượng sản phẩm thì cần có sự tham gia, phối hợp chặt chẽ giữa 03 đối tượng: DN, cơ quan QLNN và NSD.

Vai trò chủ động của DN

Có thể nói DN kinh doanh sản phẩm, dịch vụ ATTTM là nhân tố chính trong công tác kiểm soát, quản lý chất lượng sản phẩm, dịch vụ ATTTM. Chỉ có DN sản xuất ra sản phẩm mới hiểu rõ nhất về sản phẩm, dịch vụ của mình. Và cũng chỉ có DN đó mới nắm rõ điểm mạnh, điểm yếu của sản phẩm khi cung cấp ra thị trường.

Do đó, công tác quản lý chất lượng sản phẩm, dịch vụ cần được DN phát triển quan tâm từ khâu thiết kế, phát triển sản phẩm, dịch vụ. Trong lĩnh vực ATTTM, chỉ có sản phẩm, dịch vụ tốt mới có thể tồn tại trên thị trường. Sản phẩm được phát triển vừa phải đáp ứng yêu cầu về chức năng, tính năng trong sử dụng lại cần phải có khả năng tự đảm bảo an toàn vì vậy, các yêu cầu về chất lượng đối với các sản phẩm, dịch vụ ATTTM luôn là các yêu cầu cao, phức tạp và đỏi hỏi trình độ chuyên môn sâu của đội ngũ phát triển sản phẩm tại mỗi DN.

Thị trường kinh doanh sản phẩm, dịch vụ ATTTM không có khoảng trống dành cho những đối tác nghiệp dư. Khi tham gia vào thị trường này, DN đã phải trang bị cho mình những hiểu biết sâu sắc về yêu cầu chất lượng đối với sản phẩm của mình. Việc theo đuổi và đáp ứng những yêu cầu khắt khe của các tổ chức quốc tế là điều mà các DN sản xuất sản phẩm, dịch vụ luôn hướng tới dù là DN Việt Nam hay quốc tế. Làm được điều này, đồng nghĩa với việc DN sẽ tìm được chỗ đứng vững chắc trên thị trường trong nước và quốc tế.

Các yêu cầu về chức năng, tính năng của sản phẩm, dịch vụ ATTT đối với quốc tế không còn xa lạ, hiện đã có nhiều tổ chức uy tín trên thế giới ban hành các bộ tài liệu hướng dẫn, yêu cầu kỹ thuật như: ISO/IEC, CCRA, NIAP... Trong đó, mỗi tổ chức quốc tế đã tham gia đóng góp những bộ yêu cầu để hoàn thiện hệ thống yêu cầu, quản lý chất lượng quốc tế với đa dạng các chủng loại sản phẩm, dịch vụ ATTTM. Khi các DN trong nước tham gia vào thị trường thì việc chủ động nghiên cứu, áp dụng yêu cầu kỹ thuật của các tổ chức quốc tế là vấn đề hết sức cần thiết. Các yêu cầu kỹ thuật này cũng chính là thước đo chất lượng của các sản phẩm, dịch vụ ATTTM và thực sự việc đáp ứng các yêu cầu này là không hề dễ dàng, đòi hỏi sự chủ động mang tính bắt buộc từ phía DN trong quá trình sản xuất, cung cấp sản phẩm, dịch vụ.

attt-3.png

Vai trò của cơ quan QLNN

Cơ quan QLNN ngoài việc ban hành và thực thi các chính sách để đảm bảo DN kinh doanh trong lĩnh vực đạt hiệu quả tốt thì còn có vai trò hỗ trợ DN phát triển. Đối với lĩnh vực ATTTM, việc cơ quan QLNN đồng hành cùng DN để phát triển thị trường sản phẩm, dịch vụ trong giai đoạn hiện nay được ưu tiên hàng đầu. Các DN đã được cấp phép thì có thể tồn tại được, có thể phát triển được và tạo ra những sản phẩm chất lượng để bảo vệ sự thịnh vượng của Việt Nam trên không gian mạng, đây là quan điểm chỉ đạo xuyên suốt trong công tác QLNN lĩnh vực  ATTTM.

Từ quan điểm trên, Cục ATTT đã có nhiều văn bản hướng dẫn DN, tham mưu Lãnh đạo Bộ  TT&TT ban hành các chính sách trong thẩm quyền thực hiện công tác QLNN, hỗ trợ DN và đặc biệt chú trọng đến hướng dẫn các yêu cầu kỹ thuật cơ bản làm cơ sở phát triển sản phẩm, dịch vụ trong nước.

Theo kinh nghiệm quốc tế, để thực hiện hoạt động quản lý chất lượng sản phẩm, dịch vụ an toàn thông tin thì việc xây dựng hệ thống tiêu chí đánh giá có lẽ là một trong những khâu quan trọng nhất. Bên cạnh việc phát triển tiêu chí đánh giá và chuẩn hóa thành các tiêu chuẩn, cũng cần phải hình thành hệ thống các quy định về mặt luật pháp và hệ thống các phòng thử nghiệm. Nói chung, các quá trình này được phát triển ở từng quốc gia, vào từng giai đoạn có sự khác nhau đáng kể và phần lớn chịu sự chi phối của tình hình phát triển khoa học – công nghệ cũng như nhu cầu sử dụng các sản phẩm cần được đánh giá của mỗi quốc gia.

Đối với thực tiễn yêu cầu về quản lý chất lượng sản phẩm, dịch vụ ATTTM tại Việt Nam trong giai đoạn hiện nay, Bộ TT&TT đã ban hành nhiều văn bản yêu cầu kỹ thuật cơ bản đối với sản phẩm ATTT: sản phẩm Kiểm soát truy cập mạng (Network Access Control - NAC), sản phẩm Phòng, chống tấn công từ chối dịch vụ (Anti- DDoS), sản phẩm Phân tích và phát hiện hành vi bất thường của người dùng trên mạng (User and Entity Behavior Analytics - UEBA), sản phẩm Quản lý và phân tích sự kiện an toàn thông tin (SIEM), sản phẩm Tường lửa ứng dụng web (WAF)... Các bộ yêu cầu kỹ thuật cơ bản này là phương án hỗ trợ hiệu quả trong ngắn hạn để bù đắp vào các khoảng trống mà hệ thống tiêu chuẩn Việt Nam (TCVN) và quy chuẩn kỹ thuật (QCVN) hiện đang trong quá trình hoàn thiện đối với lĩnh vực ATTTM.

Việc hoàn thiện xây dựng hệ thống TCVN và QCVN đối với các sản phẩm, dịch vụ ATTT sẽ góp phần giải quyết bài toán về quản lý chất lượng sản phẩm của cơ quan QLNN, là công cụ để kiểm soát chất lượng sản phẩm, dịch vụ trên thị trường thông qua công tác đánh giá, đo kiểm. Các TCVN và QCVN cũng là cơ sở tham chiếu tốt để các DN có căn cứ phát triển, nâng cao chất lượng sản phẩm, dịch vụ.

Bên cạnh các chính sách về quản lý chất lượng, để tạo hành lang pháp lý hỗ trợ phát triển các hoạt động kinh doanh sản phẩm, dịch vụ ATTTM, Bộ TT&TT đã ban hành Thông tư số 10/2022/TT-BTTTT ngày 20/7/2022 của Bộ trưởng Bộ TT&TT sửa đổi, bổ sung một số điều của Thông tư số 13/2018/ TT-BTTTT ngày 15/10/2018 quy định danh mục sản phẩm ATTTM nhập khẩu theo giấy phép và trình tự, thủ tục, hồ sơ cấp giấy phép nhập khẩu sản phẩm ATTTM. Mục tiêu là giảm thành phần hồ sơ, thời gian xử lý thủ tục cấp Giấy phép nhập khẩu theo chủ trương Nghị quyết số 68/NQ-CP và sửa đổi, bổ sung danh sách sản phẩm ATTTM nhập khẩu theo giấy phép để phù hợp với thực tế.

Trong năm 2022, Bộ TT&TT cũng đã phối hợp với Bộ Công an xây dựng và trình Thủ tướng Chính phủ ký ban hành Quyết định số 964/QĐ-TTg ngày 10/8/2022 của Thủ tướng Chính phủ phê duyệt Chiến lược An toàn, An ninh mạng quốc gia, chủ động ứng phó với các thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030.

Đây là lần đầu tiên tại Việt Nam, Chiến lược An toàn, An ninh mạng quốc gia được ban hành theo quy định của Luật. Chiến lược thể hiện rõ quan điểm an toàn thông tin và an ninh mạng là trọng tâm của quá trình chuyển đổi số, trụ cột quan trọng tạo lập niềm tin số để phát triển kinh tế số, xã hội số. Chuyển đổi căn bản về nhận thức và cách làm, phát triển đội ngũ chuyên gia và tự chủ về công nghệ, sản phẩm, phổ cập dịch vụ là giải pháp căn cơ để đưa Việt Nam trở thành quốc gia có năng lực cao về bảo đảm ATTT và an ninh mạng.

Vai trò của người sử dụng

trọng, ý kiến phản hồi của đối tượng này cần được lắng nghe và tiếp thu một cách hiệu quả bởi DN cung cấp sản phẩm, dịch vụ. Bên cạnh đó, cơ quan quản lý nhà nước cũng cần tiếp cận với nguồn thông tin này để nâng cao hiệu quả trong quá trình thực hiện công tác quản lý.

Kết luận

Giải quyết bài toán quản lý chất lượng sản phẩm, dịch vụ luôn là vấn đề phức tạp đối với bất kỳ thị trường kinh doanh nào và thị trường sản phẩm, dịch vụ ATTTM cũng phải đối diện với các vấn đề tương tự. Với tốc độ tăng trưởng nhanh chóng của thị trường này, kèm theo sự gia tăng liên tục của các sản phẩm, dịch vụ cung cấp ra thị trường đã khiến bài toán quản lý chất lượng sản phẩm dịch vụ trở nên cấp thiết và cần có phương án giải quyết.

Trong những năm gần đây, các cơ quan QLNN về ATTTM đã sớm nhận thức được vấn đề và có những hành động cụ thể để triển khai xây dựng các cơ sở, công cụ quản lý chất lượng bao gồm hệ thống tiêu chuẩn, quy chuẩn kỹ thuật, bổ sung năng lực cho các đơn vị đánh giá, kiểm định trong nước. Cùng với đó, việc nâng cao chất lượng của các nhân sự kỹ thuật trong bộ máy cũng được thực hiện liên tục qua các chương trình đào tạo, đặc biệt là các khóa đào tạo về hệ thống tiêu chuẩn, kỹ thuật quốc tế.

Đối với cơ quan QLNN về ATTTM, việc hướng tới các tiêu chuẩn, yêu cầu kỹ thuật của quốc tế để đưa vào áp dụng trong nước là khẳng định rõ ràng về xu hướng hội nhập quốc tế trong lĩnh vực ATTTM, hướng tới việc sớm có các sản phẩm Make in Viet Nam đạt chất lượng tốt, cung cấp ra thị trường quốc tế, đưa con thuyền ATTTM của quốc gia vươn ra biển lớn. Làm được điều này, Việt Nam có thể từng bước hiện thực hóa mục tiêu tự chủ và thịnh vượng trên không gian mạng.

(Bài đăng ấn phẩm in Tạp chí TT&TT số 3 tháng 3/2023)

Ngô Tùng Lâm – Cục An toàn thông tin