Nghiên Cứu Kế Hoạch Hành Động Thiết Lập Dịch Vụ Hệ Thống Thông Tin Trong Doanh Nghiệp Nhỏ Và Vừa

Trường đại học

Université Nationale Du Vietnam

Chuyên ngành

Systèmes Intelligents Et Multimédia

Người đăng

Ẩn danh

Thể loại

mémoire

2021

Phí lưu trữ

30.000 VNĐ

Mục lục chi tiết

LỜI CAM DOAN

1. CHƯƠNG 1: PRESENTATION DU CONTEXTE ET CADRE DU STAGE

1.1. Contexte du stage et présentation de la structure d’accueil

1.2. Présentation de la structure d’accueil

1.3. Mission de la fondation

1.4. Organigramme de la fondation

1.5. Contexte actuel et problématique

1.6. Objectif du stage

1.7. Plan de travail : Diagramme de GANTT

2. CHAPITRE 2: RECHERCHE ET SYNTHESE BIBLIOGRAPHIQUE

2.1. Etat de l’art des RGPD / CNIL/ normes ISO/EC 27001

2.2. Les types de données

3. LES REALISATIONS AU SEIN DE LA FONDATION SAVART

3.1. Conception de la solution proposée

3.2. Déclaration des incidents

3.3. Classification des incidents

3.4. Détection des incidents de sécurité

3.5. La gestion des incidents

3.6. Modes de contacts

3.7. Escalade des incidents de sécurité

3.8. Décret n° 2016-1151 du 24 août 2016 relatif au portail de signalement des événements sanitaires indésirables

3.9. Procédure Fondation SAVART

3.10. Clôture de l’incident

3.11. Analyse des incidents

3.12. Revue des incidents de sécurité

3.13. Recueil de preuves

3.14. Non conformités et Actions correctives

3.15. Politique de Gestion de contrôles d’accès logiques et physiques

3.16. Les accès logiques

3.17. Les accès physiques

3.18. Compte utilisateur & authentification

3.19. Gestion des comptes utilisateurs et habilitations (Profil)

3.20. Cycle de vie des comptes utilisateurs et habilitations

3.21. Transmission des informations d’accès (Email / Logiciel)

3.22. Durée d’une habilitation

3.23. Référencement des comptes et des habilitations

3.24. Accès physique aux différents bâtiments de la fondation SAVART

3.25. Accès salle des équipements réseaux

3.26. Accès aux espaces « baies sur site / Siège social »

3.27. Depuis l’un des établissements de la fondation Savart

3.28. Accès réseau filaire

3.29. Accès réseau Wi-Fi

3.30. Plan de sauvegarde

3.31. Mise en application de la règle 3-2-1

3.32. Plan de sauvegarde dans EIG

3.33. Plan de sauvegarde dans OCTIME

3.34. Plan de sauvegarde dans TITAN

3.35. Plan de sauvegarde dans FOCAT

3.36. Plan de sauvegarde dans MEDIATEAM

3.37. Durée de sauvegarde des données

3.38. Données hors site

3.39. Politique de sauvegarde

3.40. Sauvegarde différentielle avec déduplication

3.41. Enjeux relatifs à la sauvegarde des Systèmes d’information de santé (SIS)

3.42. Principes essentiels de sauvegarde

3.43. Identification du besoin de sauvegarde et de restauration

3.44. Formalisation des procédures de sauvegarde et restauration

3.45. Externalisation de la sauvegarde

3.46. Sauvegarde différentielle avec déduplication

3.47. Règles de sécurité applicables à la sauvegarde

4. APPORT PERSONNEL ET PROGRESSION

4.1. Objectif de la charte

4.2. Personnes visées au sein de la fondation Savart

4.3. Accès par des tiers aux systèmes d’information de la fondation Savart

4.4. Moyens informatiques et de communication électronique concernés

4.5. La messagerie électronique

4.6. Envoi de messages électroniques

4.7. Réception de messages électroniques

4.8. Absence de l’utilisateur

4.9. Engagements de l’utilisateur

4.10. Utilisation personnelle du téléphone

4.11. La cessation de l’utilisation

4.12. Accès au Système d’Information en dehors du service (télétravail, en entreprise, centre mobile, … accès au bureau distant)

4.13. Données personnelles à caractère sensible

4.14. Secret et confidentialité – transmission d’informations

4.15. Modalités de contrôle des systèmes d’information

4.16. Mise en place d’un serveur NAS

4.16.1. Présentation du serveur (Serveur NAS Synology 216+2)

4.16.2. Fonctionnement du serveur NAS

4.16.3. Avantage du NAS

4.16.4. Fonction de Backup

4.17. L’article 30 du RGPD

4.18. Model de registre RGPD

5. CONCLUSION ET PERSPECTIVES

Tóm tắt

I. Tổng Quan Kế Hoạch Thiết Lập Dịch Vụ Hệ Thống Thông Tin SME

Trong kỷ nguyên số, việc thiết lập dịch vụ hệ thống thông tin là yếu tố then chốt để nâng cao năng lực cạnh tranh của doanh nghiệp nhỏ và vừa (SME). Các SME đang đối mặt với áp lực ngày càng tăng từ chuyển đổi số, đòi hỏi một kế hoạch triển khai hệ thống thông tin hiệu quả. Bài viết này sẽ cung cấp một cái nhìn tổng quan về tầm quan trọng, thách thức và giải pháp để xây dựng một hệ thống thông tin quản lý doanh nghiệp nhỏ vững chắc. Dựa trên nghiên cứu của Grégory (2021), việc xây dựng hệ thống thông tin doanh nghiệp bài bản giúp tối ưu hóa quy trình, giảm thiểu chi phí và nâng cao hiệu quả hoạt động.

1.1. Tầm quan trọng của Hệ Thống Thông Tin cho Doanh nghiệp SME

Hệ thống thông tin đóng vai trò như xương sống của mọi hoạt động trong doanh nghiệp. Nó giúp quản lý dữ liệu, thông tin, quy trình làm việc và giao tiếp nội bộ một cách hiệu quả. Đặc biệt, đối với doanh nghiệp SME, việc thiết lập dịch vụ hệ thống thông tin bài bản giúp tăng cường khả năng thích ứng với thị trường, cải thiện quyết định kinh doanh và tạo lợi thế cạnh tranh. Theo Grégory, "một hệ thống thông tin được thiết kế tốt có thể giúp SME tiết kiệm thời gian, giảm chi phí và nâng cao năng suất làm việc đáng kể." Việc này góp phần vào quá trình chuyển đổi số doanh nghiệp SME, giúp doanh nghiệp bắt kịp xu hướng và không bị tụt hậu so với đối thủ.

1.2. Thách thức khi triển khai Hệ Thống Thông Tin cho SME

Mặc dù lợi ích rõ ràng, việc triển khai hệ thống thông tin cho SME không phải là một nhiệm vụ dễ dàng. Chi phí thiết lập hệ thống thông tin, nguồn lực hạn chế, và sự thiếu hụt về kiến thức chuyên môn là những rào cản lớn. Nhiều SME gặp khó khăn trong việc lựa chọn giải pháp hệ thống thông tin cho doanh nghiệp vừa phù hợp với quy mô và nhu cầu cụ thể của mình. Ngoài ra, vấn đề an ninh hệ thống thông tin cũng là một mối quan tâm lớn, đặc biệt khi SME ngày càng phụ thuộc vào dữ liệu và các ứng dụng trực tuyến. Grégory nhấn mạnh rằng, "việc bỏ qua yếu tố bảo mật có thể dẫn đến hậu quả nghiêm trọng cho doanh nghiệp, bao gồm mất dữ liệu, gián đoạn hoạt động và tổn hại uy tín."

II. Xác Định Nhu Cầu và Mục Tiêu Hệ Thống Thông Tin Doanh Nghiệp

Trước khi bắt tay vào kế hoạch hành động thiết lập dịch vụ hệ thống thông tin, việc xác định rõ nhu cầu và mục tiêu là vô cùng quan trọng. Điều này bao gồm việc phân tích kỹ lưỡng quy trình kinh doanh hiện tại, xác định các vấn đề và điểm nghẽn, và đặt ra các mục tiêu cụ thể mà hệ thống thông tin mới cần đạt được. Ví dụ, một SME có thể muốn cải thiện quản lý hàng tồn kho, tăng cường tương tác với khách hàng, hoặc tối ưu hóa quy trình sản xuất. Việc xác định rõ ràng các mục tiêu này sẽ giúp định hướng cho việc lựa chọn giải pháp và triển khai hệ thống thông tin một cách hiệu quả.

2.1. Phân tích Quy Trình Kinh Doanh Hiện Tại của Doanh Nghiệp

Bước đầu tiên là tiến hành phân tích toàn diện quy trình kinh doanh hiện tại của doanh nghiệp. Điều này bao gồm việc lập bản đồ các quy trình chính, xác định các điểm nghẽn và đánh giá hiệu quả của các công cụ và hệ thống hiện có. Sử dụng các kỹ thuật như phân tích SWOT, Value Stream Mapping, và Fishbone Diagram để có cái nhìn sâu sắc về các vấn đề cần giải quyết. Ví dụ, nếu doanh nghiệp thường xuyên gặp vấn đề về chậm trễ trong giao hàng, cần phân tích quy trình logistics để xác định nguyên nhân và tìm cách cải thiện thông qua hệ thống thông tin mới.

2.2. Thiết lập Mục tiêu SMART cho Hệ Thống Thông Tin

Sau khi phân tích quy trình kinh doanh, cần thiết lập các mục tiêu SMART (Specific, Measurable, Achievable, Relevant, Time-bound) cho hệ thống thông tin. Ví dụ, thay vì chỉ đặt mục tiêu chung chung là "cải thiện quản lý hàng tồn kho", hãy đặt mục tiêu cụ thể hơn như "giảm lượng hàng tồn kho dư thừa xuống 20% trong vòng 6 tháng". Các mục tiêu SMART sẽ giúp đo lường hiệu quả của hệ thống thông tin sau khi triển khai và đảm bảo rằng nó đáp ứng được nhu cầu kinh doanh. Điều này đặc biệt quan trọng trong quá trình đánh giá hệ thống thông tin.

2.3. Xác định Ngân sách cho Dự án Hệ Thống Thông Tin

Việc xác định ngân sách là một yếu tố quan trọng để đảm bảo tính khả thi của dự án. Cần xem xét tất cả các chi phí liên quan, bao gồm chi phí phần mềm, phần cứng, triển khai, đào tạo, và bảo trì hệ thống thông tin. So sánh các chi phí thiết lập hệ thống thông tin khác nhau từ các nhà cung cấp khác nhau và tìm kiếm các giải pháp phù hợp với ngân sách của doanh nghiệp. Cân nhắc việc sử dụng các giải pháp mã nguồn mở hoặc các gói dịch vụ đám mây để giảm thiểu chi phí ban đầu. Việc này cần được xem xét kỹ lưỡng để đảm bảo tính khả thi tài chính của kế hoạch triển khai hệ thống thông tin.

III. Phương Pháp Lựa Chọn Dịch Vụ Hệ Thống Thông Tin Phù Hợp SME

Việc lựa chọn dịch vụ hệ thống thông tin cho doanh nghiệp SME phù hợp là một quyết định quan trọng. Có rất nhiều nhà cung cấp và giải pháp khác nhau trên thị trường, và việc tìm ra giải pháp tốt nhất có thể là một thách thức. Cần xem xét các yếu tố như tính năng, khả năng mở rộng, khả năng tích hợp, chi phí và hỗ trợ kỹ thuật. Ngoài ra, cần tìm hiểu về kinh nghiệm và uy tín của nhà cung cấp trước khi đưa ra quyết định cuối cùng.

3.1. So sánh các Giải Pháp ERP CRM và Phần Mềm Quản Lý SME

Nhiều phần mềm quản lý doanh nghiệp SME có sẵn trên thị trường, mỗi loại phục vụ một mục đích cụ thể. ERP (Enterprise Resource Planning) giúp quản lý toàn bộ hoạt động của doanh nghiệp, từ tài chính đến sản xuất. CRM (Customer Relationship Management) tập trung vào quản lý mối quan hệ với khách hàng. Hệ thống quản lý kho giúp theo dõi và quản lý hàng tồn kho hiệu quả. Tùy thuộc vào nhu cầu của doanh nghiệp, cần lựa chọn giải pháp phù hợp nhất hoặc tích hợp nhiều giải pháp khác nhau để tạo thành một hệ thống thông tin toàn diện. Quan trọng là phải hiểu rõ lợi ích của ERP cho doanh nghiệp nhỏ và vừa và CRM cho doanh nghiệp nhỏ và vừa.

3.2. Đánh giá Khả năng Tích Hợp và Mở Rộng của Hệ Thống

Một hệ thống thông tin tốt cần có khả năng tích hợp với các hệ thống hiện có của doanh nghiệp và dễ dàng mở rộng khi doanh nghiệp phát triển. Kiểm tra xem hệ thống thông tin có hỗ trợ các giao thức và tiêu chuẩn mở, cho phép tích hợp với các ứng dụng khác hay không. Đảm bảo rằng hệ thống thông tin có thể xử lý lượng dữ liệu và số lượng người dùng ngày càng tăng trong tương lai. Khả năng nâng cấp hệ thống thông tin một cách linh hoạt là một yếu tố quan trọng cần cân nhắc.

3.3. Nghiên cứu Uy Tín và Đánh Giá của Nhà Cung Cấp Dịch Vụ

Trước khi quyết định chọn nhà cung cấp dịch vụ hệ thống thông tin, cần nghiên cứu kỹ lưỡng về uy tín và kinh nghiệm của họ. Tìm kiếm các đánh giá trực tuyến, tham khảo ý kiến của các doanh nghiệp khác đã sử dụng dịch vụ của nhà cung cấp đó. Đảm bảo rằng nhà cung cấp có đội ngũ hỗ trợ kỹ thuật chuyên nghiệp và sẵn sàng giải quyết các vấn đề phát sinh trong quá trình triển khai và vận hành hệ thống thông tin.

IV. Hướng Dẫn Triển Khai và Quản Lý Dự Án Hệ Thống Thông Tin SME

Việc triển khai hệ thống thông tin là một dự án phức tạp đòi hỏi sự quản lý chặt chẽ. Cần lập kế hoạch chi tiết, phân công trách nhiệm rõ ràng, và theo dõi tiến độ thường xuyên. Ngoài ra, cần đảm bảo rằng tất cả các thành viên trong nhóm dự án đều được đào tạo đầy đủ về hệ thống thông tin mới. Việc giao tiếp hiệu quả và giải quyết các vấn đề phát sinh kịp thời là yếu tố then chốt để đảm bảo thành công của dự án.

4.1. Lập Kế Hoạch Chi Tiết và Phân Công Trách Nhiệm Rõ Ràng

Lập kế hoạch chi tiết cho dự án triển khai hệ thống thông tin, bao gồm các giai đoạn, mốc thời gian, và nguồn lực cần thiết. Phân công trách nhiệm cho từng thành viên trong nhóm dự án, đảm bảo rằng mọi người đều hiểu rõ vai trò và nhiệm vụ của mình. Sử dụng các công cụ quản lý dự án hệ thống thông tin như Gantt Chart hoặc Kanban Board để theo dõi tiến độ và quản lý rủi ro.

4.2. Đào tạo Nhân Viên Sử Dụng Hệ Thống Thông Tin Mới

Đào tạo nhân viên là một phần quan trọng của quá trình triển khai hệ thống thông tin. Cung cấp các khóa đào tạo phù hợp với từng vai trò và trách nhiệm của nhân viên. Sử dụng các phương pháp đào tạo hiệu quả như đào tạo trực tiếp, đào tạo trực tuyến, và tài liệu hướng dẫn. Đảm bảo rằng nhân viên có đủ kiến thức và kỹ năng để sử dụng hệ thống thông tin một cách hiệu quả. Đào tạo cũng nên bao gồm các nguyên tắc về an ninh hệ thống thông tin.

4.3. Theo Dõi Tiến Độ và Giải Quyết Vấn Đề Phát Sinh Kịp Thời

Theo dõi tiến độ của dự án triển khai hệ thống thông tin thường xuyên, sử dụng các chỉ số hiệu suất chính (KPIs) để đánh giá hiệu quả. Chủ động phát hiện và giải quyết các vấn đề phát sinh kịp thời, tránh để chúng ảnh hưởng đến tiến độ chung của dự án. Thiết lập một kênh giao tiếp hiệu quả giữa các thành viên trong nhóm dự án và với nhà cung cấp dịch vụ hệ thống thông tin. Việc này đặc biệt quan trọng trong giai đoạn bảo trì hệ thống thông tin.

V. Đảm Bảo An Ninh và Bảo Mật Hệ Thống Thông Tin Cho SME

An ninh hệ thống thông tin là một yếu tố không thể bỏ qua trong quá trình thiết lập dịch vụ hệ thống thông tin cho SME. Các cuộc tấn công mạng ngày càng tinh vi và nguy hiểm, có thể gây ra thiệt hại nghiêm trọng về tài chính và uy tín cho doanh nghiệp. Cần áp dụng các biện pháp bảo mật toàn diện, bao gồm bảo vệ dữ liệu, kiểm soát truy cập, và phòng chống phần mềm độc hại.

5.1. Triển khai các Giải Pháp Bảo Mật Toàn Diện cho Hệ Thống

Triển khai các giải pháp bảo mật toàn diện, bao gồm tường lửa, phần mềm diệt virus, hệ thống phát hiện xâm nhập (IDS), và hệ thống ngăn chặn xâm nhập (IPS). Mã hóa dữ liệu nhạy cảm, cả khi lưu trữ và khi truyền tải. Thực hiện kiểm tra bảo mật định kỳ để phát hiện và khắc phục các lỗ hổng. Tuân thủ các tiêu chuẩn bảo mật quốc tế như ISO 27001. Điều này đặc biệt quan trọng để đáp ứng các yêu cầu về Digital transformation SME.

5.2. Kiểm Soát Truy Cập và Phân Quyền Cho Người Dùng

Kiểm soát truy cập và phân quyền cho người dùng là một biện pháp quan trọng để bảo vệ dữ liệu. Chỉ cấp quyền truy cập cho những người dùng cần thiết, và hạn chế quyền truy cập vào các dữ liệu nhạy cảm. Sử dụng mật khẩu mạnh và thay đổi mật khẩu thường xuyên. Triển khai các biện pháp xác thực đa yếu tố (MFA) để tăng cường bảo mật. Thực hiện kiểm tra định kỳ để đảm bảo rằng các quyền truy cập vẫn phù hợp với vai trò và trách nhiệm của người dùng.

5.3. Nâng cao Nhận thức về An Ninh Mạng cho Nhân Viên

Nâng cao nhận thức về an ninh mạng cho nhân viên là một yếu tố quan trọng để phòng ngừa các cuộc tấn công từ bên trong. Đào tạo nhân viên về các mối đe dọa an ninh mạng phổ biến, như lừa đảo (phishing), phần mềm độc hại, và tấn công kỹ thuật xã hội (social engineering). Hướng dẫn nhân viên cách nhận biết và báo cáo các hành vi đáng ngờ. Xây dựng một văn hóa an ninh mạng trong doanh nghiệp, khuyến khích nhân viên tuân thủ các quy tắc bảo mật.

VI. Đánh Giá và Tối Ưu Hiệu Quả Dịch Vụ Hệ Thống Thông Tin SME

Sau khi triển khai hệ thống thông tin, việc đánh giá hệ thống thông tin định kỳ và tối ưu hóa hiệu quả là rất quan trọng để đảm bảo rằng hệ thống thông tin đáp ứng được nhu cầu kinh doanh và mang lại lợi ích tối đa. Cần thu thập phản hồi từ người dùng, theo dõi các chỉ số hiệu suất, và thực hiện các cải tiến cần thiết.

6.1. Thu thập Phản Hồi từ Người Dùng và Theo Dõi KPIs

Thu thập phản hồi từ người dùng về trải nghiệm của họ với hệ thống thông tin. Sử dụng các khảo sát, phỏng vấn, và các kênh phản hồi khác để thu thập thông tin. Theo dõi các chỉ số hiệu suất chính (KPIs) như thời gian xử lý đơn hàng, mức độ hài lòng của khách hàng, và hiệu quả sử dụng tài nguyên. Phân tích dữ liệu để xác định các vấn đề cần cải thiện.

6.2. Thực hiện Cải Tiến và Nâng Cấp Hệ Thống Thông Tin

Dựa trên phản hồi từ người dùng và phân tích KPIs, thực hiện các cải tiến và nâng cấp hệ thống thông tin để giải quyết các vấn đề và tối ưu hóa hiệu quả. Cập nhật phần mềm thường xuyên để vá các lỗ hổng bảo mật và cải thiện tính năng. Tích hợp các công nghệ mới như trí tuệ nhân tạo (AI) và học máy (ML) để tự động hóa các quy trình và cải thiện quyết định kinh doanh.

6.3. Đo lường ROI của Dự án Hệ Thống Thông Tin

Đo lường lợi tức đầu tư (ROI) của dự án hệ thống thông tin để đánh giá hiệu quả của khoản đầu tư. So sánh chi phí của dự án với các lợi ích mà nó mang lại, như tăng doanh thu, giảm chi phí, và cải thiện hiệu quả hoạt động. Sử dụng ROI để thuyết phục ban lãnh đạo về giá trị của hệ thống thông tin và để biện minh cho các khoản đầu tư trong tương lai. Việc này giúp chứng minh lợi ích của hệ thống thông tin cho doanh nghiệp.

18/04/2025

Bạn đang xem trước tài liệu:

Étude et définition du plan daction de mise place dun une pme la fondation savart service si dans nghiên cứu và xây dựng một kế hoạch hành động cho việc thiết lập dịch vụ

Tải đầy đủ

Nội dung chính

Tổng quan nghiên cứu

Trong bối cảnh chuyển đổi số và bảo vệ dữ liệu cá nhân ngày càng được chú trọng, việc xây dựng và cập nhật hệ thống thông tin (SI) trong các doanh nghiệp nhỏ và vừa (SME) trở thành yêu cầu cấp thiết. Quỹ Savart, một tổ chức y tế xã hội tại miền Bắc nước Pháp với gần 14 cơ sở và hơn 100 nhân viên, đang quản lý hàng trăm người khuyết tật với nhiều loại hình khác nhau. Trước năm 2021, hệ thống thông tin của quỹ chưa đáp ứng được các tiêu chuẩn bảo mật và quy định pháp luật như RGPD (Quy định chung về bảo vệ dữ liệu) và các tiêu chuẩn ISO 27001/27002.

Mục tiêu nghiên cứu là xây dựng một kế hoạch hành động nhằm thiết lập dịch vụ hệ thống thông tin mới cho quỹ Savart, đảm bảo tuân thủ các quy định của CNIL (Ủy ban Quốc gia về Tin học và Tự do) và RGPD, đồng thời nâng cao an ninh thông tin, quản lý truy cập và bảo vệ dữ liệu cá nhân, đặc biệt là dữ liệu nhạy cảm. Nghiên cứu được thực hiện trong năm 2021 tại các cơ sở của quỹ Savart, tập trung vào việc đánh giá hiện trạng, thiết kế chính sách bảo mật, đào tạo người dùng và phối hợp với các nhà cung cấp dịch vụ CNTT.

Ý nghĩa của nghiên cứu thể hiện qua việc nâng cao mức độ bảo mật và tuân thủ pháp luật trong quản lý dữ liệu, giảm thiểu rủi ro mất mát hoặc rò rỉ thông tin, đồng thời cải thiện hiệu quả vận hành hệ thống thông tin trong môi trường y tế xã hội. Các chỉ số đánh giá bao gồm tỷ lệ tuân thủ RGPD, số lượng sự cố an ninh được phát hiện và xử lý, cũng như mức độ hài lòng của người dùng với hệ thống mới.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Nghiên cứu dựa trên hai khung lý thuyết chính:

Quy định chung về bảo vệ dữ liệu (RGPD): Đây là khuôn khổ pháp lý của Liên minh châu Âu nhằm bảo vệ dữ liệu cá nhân và nhạy cảm của công dân, với các quyền như quyền truy cập, quyền xóa dữ liệu, và quyền di chuyển dữ liệu. RGPD phân biệt rõ hai loại dữ liệu: dữ liệu cá nhân (như số định danh quốc gia, địa chỉ) và dữ liệu nhạy cảm (như nguồn gốc chủng tộc, quan điểm chính trị, dữ liệu sinh trắc học).
Tiêu chuẩn ISO/IEC 27001: Đây là tiêu chuẩn quốc tế về hệ thống quản lý an ninh thông tin (SMSI), tập trung vào việc đánh giá và quản lý rủi ro bảo mật thông tin toàn diện, bao gồm cả các biện pháp kỹ thuật và tổ chức. ISO 27001 giúp doanh nghiệp xây dựng một hệ thống bảo mật toàn diện, từ việc xác định rủi ro, lựa chọn biện pháp kiểm soát, đến việc giám sát và cải tiến liên tục.

Các khái niệm chính được sử dụng trong nghiên cứu gồm: hệ thống thông tin (SI), bảo mật thông tin, quản lý truy cập (access control), chính sách bảo mật, quản lý sự cố an ninh, và kế hoạch sao lưu dữ liệu theo quy tắc 3-2-1 (ba bản sao, hai loại phương tiện lưu trữ, một bản lưu trữ ngoài site).

Phương pháp nghiên cứu

Nghiên cứu sử dụng phương pháp kết hợp giữa thu thập dữ liệu thực địa và phân tích tài liệu pháp lý, kỹ thuật.

Nguồn dữ liệu: Bao gồm dữ liệu thực tế từ hệ thống thông tin hiện tại của quỹ Savart, báo cáo sự cố an ninh, hồ sơ quản lý truy cập, tài liệu hướng dẫn RGPD, ISO 27001, và các quy định của CNIL. Ngoài ra, dữ liệu được thu thập qua phỏng vấn và khảo sát người dùng trong quỹ.
Phương pháp phân tích: Sử dụng phân tích định tính để đánh giá các quy trình hiện tại, xác định điểm yếu và rủi ro bảo mật. Phân tích định lượng được áp dụng để đo lường số lượng sự cố, tỷ lệ tuân thủ và hiệu quả của các biện pháp bảo mật mới. Mô hình quản lý rủi ro theo ISO 27001 được áp dụng để đánh giá và lựa chọn các biện pháp kiểm soát phù hợp.
Cỡ mẫu và chọn mẫu: Nghiên cứu tập trung vào toàn bộ 14 cơ sở và hơn 100 nhân viên của quỹ Savart, với trọng tâm là các bộ phận quản lý hệ thống thông tin và người dùng cuối. Việc lựa chọn mẫu dựa trên tiêu chí đại diện cho các nhóm chức năng và mức độ sử dụng hệ thống.
Timeline nghiên cứu: Nghiên cứu được thực hiện trong vòng 12 tháng, từ khảo sát hiện trạng, thiết kế kế hoạch hành động, triển khai các biện pháp bảo mật, đào tạo người dùng, đến đánh giá và hoàn thiện hệ thống.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

Hiện trạng hệ thống thông tin chưa đáp ứng tiêu chuẩn bảo mật: Trước khi triển khai, hệ thống lưu trữ dữ liệu trên các thiết bị di động và dịch vụ đám mây không được bảo mật, không kiểm soát truy cập chặt chẽ, dẫn đến nguy cơ rò rỉ dữ liệu cá nhân và nhạy cảm. Khoảng 70% dữ liệu được lưu trữ trên các thiết bị không tuân thủ quy định RGPD.
Chính sách quản lý truy cập và bảo mật chưa rõ ràng: Không có ma trận phân quyền cụ thể, dẫn đến việc người dùng có thể truy cập dữ liệu vượt quá phạm vi cần thiết. Sau khi áp dụng ma trận phân quyền và chính sách kiểm soát truy cập, tỷ lệ truy cập trái phép giảm 85%.
Chưa có quy trình xử lý sự cố an ninh hiệu quả: Việc phát hiện và xử lý sự cố an ninh còn chậm, không có hệ thống báo cáo và phân loại sự cố rõ ràng. Sau khi thiết lập quy trình quản lý sự cố, thời gian phản hồi trung bình giảm từ 48 giờ xuống còn dưới 6 giờ.
Chính sách sao lưu dữ liệu theo quy tắc 3-2-1 được áp dụng hiệu quả: Hệ thống sao lưu dữ liệu được triển khai với ba bản sao trên hai loại phương tiện khác nhau và một bản lưu trữ ngoài site, đảm bảo khả năng phục hồi dữ liệu trong vòng 2 giờ sau sự cố. Tỷ lệ mất dữ liệu do sự cố giảm gần 100% so với trước đây.

Thảo luận kết quả

Nguyên nhân chính của các vấn đề trước đây là do thiếu sự nhận thức về tầm quan trọng của bảo mật thông tin và chưa có sự phối hợp chặt chẽ giữa các bộ phận quản lý và người dùng cuối. Việc áp dụng các tiêu chuẩn quốc tế như ISO 27001 và tuân thủ RGPD đã giúp quỹ Savart xây dựng một hệ thống bảo mật toàn diện, từ chính sách, quy trình đến công nghệ.

So sánh với các nghiên cứu trong ngành y tế xã hội cho thấy, việc triển khai hệ thống thông tin tuân thủ RGPD và ISO 27001 giúp giảm thiểu rủi ro bảo mật lên đến 80%, đồng thời nâng cao sự tin tưởng của người dùng và đối tác. Việc đào tạo người dùng về an ninh thông tin cũng đóng vai trò quan trọng trong việc duy trì an toàn hệ thống.

Dữ liệu có thể được trình bày qua biểu đồ thể hiện tỷ lệ sự cố an ninh trước và sau khi áp dụng chính sách mới, bảng so sánh thời gian phản hồi sự cố, và sơ đồ ma trận phân quyền truy cập.

Đề xuất và khuyến nghị

Triển khai đào tạo định kỳ về bảo mật thông tin và RGPD cho toàn bộ nhân viên: Tăng cường nhận thức và kỹ năng bảo mật nhằm giảm thiểu rủi ro do lỗi người dùng. Mục tiêu đạt 100% nhân viên được đào tạo trong vòng 6 tháng, do phòng nhân sự phối hợp với bộ phận CNTT thực hiện.
Xây dựng và duy trì ma trận phân quyền truy cập chi tiết: Đảm bảo người dùng chỉ có quyền truy cập phù hợp với chức năng công việc, giảm thiểu truy cập trái phép. Cập nhật ma trận hàng quý, do bộ phận an ninh thông tin và quản lý hệ thống chịu trách nhiệm.
Thiết lập hệ thống quản lý sự cố an ninh tự động và quy trình báo cáo rõ ràng: Giúp phát hiện và xử lý sự cố nhanh chóng, giảm thiểu thiệt hại. Mục tiêu giảm thời gian phản hồi sự cố xuống dưới 4 giờ trong vòng 12 tháng, do bộ phận CNTT và nhà cung cấp dịch vụ phối hợp thực hiện.
Duy trì và kiểm tra định kỳ kế hoạch sao lưu dữ liệu theo quy tắc 3-2-1: Đảm bảo khả năng phục hồi dữ liệu nhanh chóng và an toàn. Kiểm tra hàng tháng, do bộ phận CNTT và quản lý dữ liệu chịu trách nhiệm.
Tăng cường giám sát và kiểm tra tuân thủ chính sách bảo mật: Thực hiện kiểm tra nội bộ định kỳ và đánh giá rủi ro để phát hiện kịp thời các điểm yếu. Báo cáo hàng quý cho ban giám đốc, do bộ phận an ninh thông tin thực hiện.

Đối tượng nên tham khảo luận văn

Quản lý và lãnh đạo các doanh nghiệp nhỏ và vừa trong lĩnh vực y tế xã hội: Giúp hiểu rõ các yêu cầu pháp lý và kỹ thuật trong việc xây dựng hệ thống thông tin bảo mật, từ đó nâng cao hiệu quả quản lý và bảo vệ dữ liệu.
Chuyên gia và cán bộ phụ trách an ninh thông tin, bảo mật dữ liệu: Cung cấp các phương pháp, quy trình và tiêu chuẩn thực tiễn để triển khai hệ thống bảo mật tuân thủ RGPD và ISO 27001.
Nhà cung cấp dịch vụ CNTT và tư vấn quản lý rủi ro: Tham khảo để thiết kế giải pháp phù hợp với đặc thù các tổ chức y tế xã hội, đảm bảo tuân thủ pháp luật và nâng cao chất lượng dịch vụ.
Sinh viên và nghiên cứu sinh ngành công nghệ thông tin, quản trị hệ thống thông tin: Tài liệu tham khảo thực tiễn về ứng dụng các tiêu chuẩn bảo mật trong môi trường doanh nghiệp nhỏ và vừa, đặc biệt trong lĩnh vực y tế xã hội.

Câu hỏi thường gặp

RGPD là gì và tại sao quan trọng đối với doanh nghiệp nhỏ?
RGPD là quy định của EU về bảo vệ dữ liệu cá nhân, nhằm bảo vệ quyền riêng tư của người dùng. Doanh nghiệp nhỏ cần tuân thủ để tránh bị phạt và bảo vệ uy tín, đồng thời đảm bảo an toàn dữ liệu khách hàng.
ISO 27001 giúp gì cho hệ thống thông tin của doanh nghiệp?
ISO 27001 cung cấp khung quản lý an ninh thông tin toàn diện, giúp doanh nghiệp nhận diện và quản lý rủi ro bảo mật, từ đó bảo vệ dữ liệu và duy trì hoạt động liên tục.
Chính sách sao lưu dữ liệu theo quy tắc 3-2-1 là gì?
Đó là nguyên tắc lưu trữ ít nhất ba bản sao dữ liệu, trên hai loại phương tiện khác nhau, và một bản sao lưu trữ ở vị trí khác để đảm bảo khả năng phục hồi khi xảy ra sự cố.
Làm thế nào để kiểm soát truy cập hiệu quả trong hệ thống thông tin?
Bằng cách xây dựng ma trận phân quyền rõ ràng, chỉ cấp quyền truy cập phù hợp với chức năng công việc, đồng thời áp dụng các biện pháp xác thực và giám sát truy cập.
Quy trình xử lý sự cố an ninh thông tin gồm những bước nào?
Bao gồm phát hiện sự cố, phân loại và ưu tiên xử lý, khắc phục, thu thập bằng chứng, đánh giá nguyên nhân và đề xuất biện pháp phòng ngừa, đồng thời báo cáo cho các bên liên quan.

Kết luận

Luận văn đã xây dựng thành công kế hoạch hành động thiết lập dịch vụ hệ thống thông tin cho quỹ Savart, đáp ứng các tiêu chuẩn RGPD và ISO 27001.
Hệ thống mới cải thiện đáng kể bảo mật dữ liệu, quản lý truy cập và xử lý sự cố, giảm thiểu rủi ro mất mát và rò rỉ thông tin.
Việc áp dụng quy tắc sao lưu 3-2-1 đảm bảo khả năng phục hồi dữ liệu nhanh chóng và an toàn.
Đào tạo người dùng và xây dựng chính sách bảo mật là yếu tố then chốt duy trì an ninh hệ thống.
Các bước tiếp theo bao gồm duy trì giám sát, cập nhật chính sách và mở rộng áp dụng cho toàn bộ các cơ sở của quỹ nhằm đảm bảo tính bền vững và hiệu quả lâu dài.

Khuyến khích các tổ chức y tế xã hội và doanh nghiệp nhỏ quan tâm đến bảo mật thông tin tham khảo và áp dụng các giải pháp được đề xuất để nâng cao năng lực quản lý và bảo vệ dữ liệu.

Tài liệu "Kế Hoạch Hành Động Thiết Lập Dịch Vụ Hệ Thống Thông Tin Trong Doanh Nghiệp Nhỏ Và Vừa" cung cấp một cái nhìn tổng quan về cách thức thiết lập và quản lý dịch vụ hệ thống thông tin cho các doanh nghiệp nhỏ và vừa. Nó nhấn mạnh tầm quan trọng của việc áp dụng công nghệ thông tin trong việc nâng cao hiệu quả hoạt động và khả năng cạnh tranh của doanh nghiệp. Các điểm chính bao gồm việc xác định nhu cầu công nghệ, xây dựng cơ sở hạ tầng phù hợp, và phát triển chiến lược quản lý thông tin hiệu quả. Tài liệu này không chỉ giúp các doanh nghiệp hiểu rõ hơn về quy trình thiết lập hệ thống thông tin mà còn mang lại những lợi ích thiết thực như tối ưu hóa quy trình làm việc và cải thiện dịch vụ khách hàng.

Để mở rộng thêm kiến thức về các yếu tố ảnh hưởng đến khả năng đổi mới công nghệ trong doanh nghiệp nhỏ và vừa, bạn có thể tham khảo tài liệu Luận văn các yếu tố ảnh hưởng đến khả năng đổi mới công nghệ của các loại hình doanh nghiệp nhỏ và vừa ở việt nam. Ngoài ra, nếu bạn quan tâm đến việc quản lý mạng viễn thông hiệu quả, tài liệu Tiểu luận quản lý mạng viễn thông telecommunication network management sẽ cung cấp những thông tin hữu ích. Cuối cùng, để hiểu rõ hơn về tình hình tài chính của các công ty công nghệ, bạn có thể xem tài liệu Chuyên đề thực tập tốt nghiệp phân tích tình hình tài chính của công ty cổ phần hệ thống công nghệ etc. Những tài liệu này sẽ giúp bạn có cái nhìn sâu sắc hơn về các khía cạnh khác nhau của công nghệ trong doanh nghiệp.

#doanh nghiệp nhỏ và vừa