Tư duy Lean cho ISMS và ISO 27001:2013
Chúng tôi đã vượt qua ngưỡng của một năm kể từ khi phát hành bản sửa đổi năm 2013 cho tiêu chuẩn ISO / IEC 27001, tiêu chuẩn quốc tế được công nhận cho các hệ thống quản lý an ninh thông tin (ISMS) trong các doanh nghiệp thuộc mọi ngành và quy mô. Vì đây là bản sửa đổi cho tiêu chuẩn ISO / IEC 27001: 2005, các doanh nghiệp đã có thời gian ân hạn cho việc tái chứng nhận hoặc chứng nhận theo tiêu chuẩn mới được công bố. Tính đến tháng 10 năm 2015, phiên bản năm 2005 không còn hợp lệ.
Các phiên bản trước của ISO 27001 rõ ràng yêu cầu sử dụng chu trình Deming hoặc chu trình PDCA để cải tiến ISMS liên tục, nhưng hiện tại các phương pháp khác như Lean và Six Sigma có thể được sử dụng thay thế. Sự thay đổi đối với điều khoản sửa đổi năm 2013 là 10.2, Cải tiến liên tục, là vaguer hơn là đảm bảo. Ngay cả các tổ chức bắt đầu cuộc hành trình để chứng nhận ISO 27001 sẽ cần phải lựa chọn quá trình cải tiến liên tục tốt nhất cho hoạt động kinh doanh của họ và điều này có thể gây ra vấn đề nếu lãnh đạo không đồng ý về phương pháp tốt nhất.
Có phải thời gian để vứt bỏ tất cả công việc mà doanh nghiệp đã và đang bắt đầu với một phương pháp mới? Có thể nếu doanh nghiệp của bạn đang tái cơ cấu hoặc sáp nhập và tiềm năng cho các hệ thống, quá trình và con người sẽ hạn chế được những lợi ích ngắn hạn và dài hạn do những thay đổi lớn. Tuy nhiên, như một câu nói cliché phổ biến "nếu nó không bị phá vỡ, đừng sửa chữa nó", nhu cầu sử dụng cái gì đó mới không nhất thiết là quyết định tốt nhất.
Chu trình PDCA
Điều thú vị là Tiến sĩ W. Edwards Deming đã giới thiệu chu trình PDCA tới Nhật Bản tại một Liên hiệp các nhà khoa học và Kỹ sư Nhật Bản (JUSE) vào năm 1950, là một phiên bản sửa đổi của phương pháp khoa học có dấu vết trở lại Galileo vào năm 1600 do Walter đưa ra Shewhart năm 1939. Người Nhật gọi phương pháp này là bánh xe Deming và nó là một ảnh hưởng lớn đối với việc sản xuất hiện đại tại Nhật Bản dẫn đến sự hiểu biết về Quản lý Lean của Toyota được phổ biến trong cuốn sách The Machine that Changed the World của Womack, Roos và Jones (1990).
Trong thập niên 80, Tiến sĩ Deming đã giới thiệu với thế giới phương Tây một phiên bản tiến hóa mà ông tin rằng có liên quan nhiều đến thời hiện đại, được gọi là Chu kỳ PDSA. "Mô hình Cải tiến" là tên của chu kỳ này và sự thay đổi của C, for 'Check' to, S 'for, Study' là cung cấp một sự hiểu biết rõ ràng rằng việc sử dụng chu kỳ phù hợp nhất cho việc học và cải thiện thông qua một quá trình tiến hóa. Nói tóm lại, người ta phải học từ chu kỳ để thực hiện các cải tiến mang lại kết quả mong muốn một cách tự nhiên.
Tăng cường là một thuật ngữ đại diện cho việc cải thiện những gì tồn tại và đó là cách tốt nhất của hành động khi thảo luận về chất lượng và hiệu quả của một quá trình quản lý rủi ro cho ISMS. Giống như phương pháp khoa học đã được cố gắng và đúng đắn của Galileo phát triển theo thời gian, hiệu quả và sự cải tiến liên tục của ISMS cũng có thể được lợi từ một số sửa đổi thông minh dẫn đến một khung thời gian thực hiện ngắn hơn và chất lượng thực hiện cao hơn.
Tư duy Lean
Tại sao không áp dụng các nguyên tắc Lean vào ISMS và chiến lược quản lý rủi ro hiện có khi thực hiện hướng dẫn của ISO 27001? Tiêu chuẩn ISO 27001: 2013 được coi là một trong những mô hình tốt nhất để thực hiện thành công ISMS trong các doanh nghiệp. Việc áp dụng Lean Tư duy và kỹ thuật vào quá trình thực hiện sẽ không chỉ giúp tăng hiệu quả, mà còn làm giảm lãng phí và nâng cao năng lực của các cá nhân có liên quan (trong hầu hết các trường hợp ISMS thành công liên quan đến tất cả mọi người trong doanh nghiệp). Đây không phải là sự chứng thực cho việc thực hiện Lean đầy đủ trong tổ chức của bạn, nhưng là một động lực thông minh để phát triển tư duy và hành động của những người tham gia quan trọng.
Lean là gì? Định nghĩa hẹp là các công cụ cải tiến và cắt giảm chi phí, nhưng định nghĩa rộng hơn là tăng cường tư duy được áp dụng một cách có hệ thống cho toàn bộ doanh nghiệp và hỗ trợ hệ thống kinh doanh.
Lean dựa trên năm nguyên tắc liên kết với nhau và liên tục. Việc áp dụng năm nguyên tắc sẽ khác nhau tùy thuộc vào nơi tổ chức khi quyết định tăng cường chiến lược quản lý rủi ro. Dưới đây là 5 nguyên tắc và có ứng dụng để quản lý rủi ro:
• Nguyên tắc Một: Chỉ định Giá trị
"Giá trị" là yếu tố quan trọng trong việc suy nghĩ Lean. Mọi thứ về Lean là để thúc đẩy nhiều giá trị hơn từ bên trong. Bạn cần phải xác định các điểm căng thẳng cao nhất đe dọa giá trị trong suốt ISMS. Bằng cách xác định giá trị của hàng hoá hoặc dịch vụ cụ thể hoặc sự kết hợp của chúng, chúng ta có thể bắt đầu hiểu được nơi nào để nâng cao giá trị.
• Nguyên tắc hai: Xác định và lập bản đồ chuỗi giá trị
"chuỗi giá trị" là một bộ các hoạt động cụ thể cần thiết để thực hiện một sản phẩm cụ thể (hàng hoá, dịch vụ hoặc kết hợp cả hai) với những người cần nó. Xác định và loại bỏ các bước không làm tăng giá trị cũng là một yếu tố quan trọng trong việc lập bản đồ chuỗi giá trị. Ví dụ, một ISMS đạt chất lượng có kiến trúc IT được lập bản đồ, nhưng hiệu quả và sự tiện lợi hiếm khi là ưu tiên hàng đầu. Có tính đến nguyên tắc Lean để lập bản đồ chuỗi giá trị, doanh nghiệp có thể sắp xếp CNTT (giá trị cao) với một hệ thống phân phối hiệu quả hơn (chuỗi giá trị) cho khách hàng (nhân viên của doanh nghiệp). Để thực hiện thành công bước này, chúng ta cần có sự minh bạch để có thể xem đầy đủ các hoạt động có liên quan và có ảnh hưởng đến nhau.
• Nguyên tắc Ba: Luồng liên tục
"Luồng" là bước thứ ba trong Tư duy Lean và ý tưởng là làm cho các bước tạo ra giá trị theo thứ tự chặt chẽ cho một luồng thông tin trôi chảy. Quan điểm quản lý rủi ro đặt nguyên tắc này vào thử nghiệm, vì ISMS cần cung cấp một luồng thông tin trôi chảy nhưng cũng phải bảo vệ dọc theo hành trình. "Cách tiếp cận nạc là xác định lại công việc của các chức năng, phòng ban và công ty để họ có thể đóng góp tích cực vào việc tạo ra giá trị và nói chuyện với nhu cầu thực sự của nhân viên tại mọi điểm dọc theo suối nên thực sự là mối quan tâm của họ dòng chảy giá trị "(Womack & Jones, 2003, trang 24)
• Nguyên tắc Bốn: Thiết lập Kéo
Nguyên tắc "Kéo" nêu rằng khi "Luồng" được đưa ra, cần phải có cấp truy cập thông tin để duy trì tính toàn vẹn. Điều này có thể đưa ra sự thích nghi khó khăn nhất, nhưng ý tưởng rất đơn giản. Về phương pháp tư duy Lean cho ISMS sẽ đảm bảo an toàn cho tất cả các thông tin cho đến khi người đó có quyền truy cập được chấp nhận cho dữ liệu. Kéo cơ học cũng là một quá trình có giá trị để thu thập và xem lại thông tin, đặc biệt là bởi các nhà ra quyết định.
• Nguyên tắc Năm: Tìm kiếm sự hoàn hảo
"Tìm kiếm sự hoàn hảo" là nguyên tắc thứ năm trong Lean Thinking và nó chỉ đơn giản được hiểu là cải tiến liên tục cho mọi thứ: con người, quy trình, chính sách, báo cáo, minh bạch và kỳ vọng. Nguyên tắc thứ năm cũng đưa chúng ta trở lại nguyên tắc đầu tiên, Xác định Giá trị, do đó hoàn thành bánh xe. Tìm kiếm sự hoàn hảo có thể là một nguyên tắc khôn ngoan để áp dụng, vì nó đòi hỏi phần lớn các đồng nghiệp của bạn phải nâng cao mức độ nhận thức, kiến thức và sẵn sàng thực hiện các chính sách và kiểm soát được đưa ra. Trong quản lý rủi ro cho ISMS, bạn có thể bắt đầu xem lại việc thực hiện kiểm soát từ cấp cao hơn bằng cách đánh giá mức độ trưởng thành bằng cách xác định xem kiểm soát có đang được thực hiện thường xuyên bởi tất cả các bên liên quan hay không. Bạn cũng nên bắt đầu đánh giá hiệu quả của việc thực hiện kiểm soát. Đối với bất kỳ kiểm soát thực hiện nào không đáp ứng được mong đợi của bạn, cách tốt nhất là đặt mức thực hiện dự kiến và chỉ định ai đó chịu trách nhiệm đạt được mức thực hiện mong muốn theo một ngày được ấn định. Về cơ bản bằng cách sử dụng bài tập này để tự kiểm tra việc thực hiện ISMS của bạn, bạn đang hoàn thành nhiệm vụ cho chứng nhận ISO 27001, cũng như chuẩn bị cho việc lặp lại quá trình suy nghĩ 5 bước để tiến gần tới sự hoàn hảo.
Lặp đi lặp lại quá trình 5 bước có thể làm lộ lãng phí trong chuỗi giá trị hoặc tiết lộ những trở ngại cho luồn thông tin. ISMS hoặc các đội quản lý rủi ro cần phải tiếp xúc gần gũi với các nhân viên khác để hiểu rõ hơn về các vấn đề thực tế ngăn cản mức độ thực hiện dự kiến. Tính minh bạch của đánh giá và kết quả kiểm toán chia sẻ với mọi người trên cơ sở thường xuyên sẽ nâng cao kiến thức và giúp nhân viên khám phá những cách tốt hơn để tạo ra giá trị. Một lợi ích chính bổ sung là phản hồi nhanh và tích cực cho nhân viên làm cải tiến, một tính năng chính của công việc Lean và động lực mạnh mẽ để tiếp tục nỗ lực để cải thiện.
Tư duy Lean và ISMS
Áp dụng 5 nguyên tắc của tư duy Lean vào ISMS của bạn và các dự án ISO 27001có thể được thị oai lúc đầu tiên, đặc biệt là nếu bạn không quen thuộc với cách suy nghĩ và quản lý dự án của Lean.
Chúng tôi khuyến khích bạn tìm hiểu thêm thông tin về quản lý Lean và sử dụng trí thông minh của riêng bạn để áp dụng một số phương pháp hay nhất cho doanh nghiệp của bạn.
https://www.riskmanagementstudio.com/blog/574-lean-thinking-for-isms-and-iso-27001-13
Xem thêm:
Đào tạo chuyên gia Đánh giá Nội bộ Hệ thống Quản lý An toàn
Thông tin ISO 27001 – link:
Đào tạo triển khai Hệ thống Quản lý An toàn Thông tin ISO
27001 – link:
Đào tạo Nhận thức Tiêu chuẩn An toàn Thông tin ISO 27001 –
link:
-------------------------
Nguyễn Đăng Quang
Chuyên gia ISO 27001. ITIL. ISO 20000. ISO 9001; Service Protal. Security and Networking System.
Phone: 0944 65 99 37. Skype: c_services_a
Website: www.tuvantieuchuaniso.com
CServicesA Vietnam - Tư vấn hệ thống quản lý ISO tích hợp
Tư vấn ISO 9001; Đào tạo ISO 9001; Triển khai ISO 9001. Tư vấn ISO 14001; Đào tạo ISO 14001; Triển khai ISO 14001. Tư vấn ISO 20000; Đào tạo ISO 20000; Triển khai ISO 20000. Tư vấn ISO 27001; Đào tạo ISO 9001; Triển khai ISO 27001. BSC & KPI trong CNTT
