Tăng tốc triển khai CMMI và ISO 27001 – Chuyên nghiệp hơn để thành công

Chỉ sau 2 năm (thực hiện tháng 9/2010) Ban quàn lý các dự án công nghiệp CNTT (BQLDA), Bộ TTTT triển khai dự án “Hỗ trợ các doanh nghiệp (DN) xây dựng, áp dụng quy trình sản xuất theo tiêu chuẩn CMMI” đến nay đã có thêm 12 DN làm CMMI (gấp 10 lần so với 10 năm về trước, năm 2000 cả nước có khoảng hơn 10 DN), trong đó, 1 DN đạt chứng chỉ level 5 và 11 DN đạt level 3. Dự án tiếp tục được mở rộng dự kiến đến 30/9/2014 có thêm khoảng 20 DN nữa triển khai CMMI. Quá trình triển khai CMMI có nhiều bài học thành công cũng như thất bại mà các DN có thể tham khảo để rút kinh nghiệm cho mình.

CMMI ( viết tắt của Capability Maturity Model Integration), là mô hình trưởng thành năng lực tích hợp – và là khuôn khổ cho cải tiến quy trình phần mềm. Mô hình dựa trên khái niệm thực hành tốt nhất về kỹ nghệ phần mềm và giải thích kỷ luật mà các công ty có thể dùng cải tiến các quy trình của họ. Đây là tấm giấy thông hành cho doanh nghiệp để thâm nhập vào chuỗi gia công phần mềm toàn cầu, giúp doanh nghiệp nâng cao chất lượng sản phẩm thông qua việc chuyên nghiệp hóa quy trình sản xuất.

Không dễ thành công

 

Ông Đoàn Đức Đề, Chuyên gia tư vấn cao cấp Công ty TNHH Tư vấn Ưu Việt quôc tế ECCI (đơn vị thầu tư vấn của dự án) cho biết, kết quả triển khai CMMI năm 2011 và 6 tháng 2012 có 22 DN ký hợp đồng. Nhưng khi số công ty tham gia từ tư vấn đến đánh giá chỉ có 16, số công ty đánh giá lại chỉ có 3, trong đó 3 công ty hủy hợp đồng. Như vậy, thực tế chỉ có 16 công ty tham gia triển khai CMMI. Nhưng kết quả chỉ 11DN đã đạt chứng chỉ CMMI level 3 (gồm: ISB Vietnam, Fujinet, GHP Far East, Softech, Unitech, Misa, Pyramid Consulting, Lạc Việt, Larion, Run – System, NEO); Và 1 công ty đạt chứng chỉ CMMI Level 5 là TMA. Như vậy, tổng cộng có 12 DN đạt chứng chỉ CMMI giai đoạn từ 2010 – 2012.

Quá trình tư vấn và triển khai CMMI cho DN, ông Đề đánh giá cao những nỗ lực của ban lãnh đạo, đội ngũ làm dự án của các DN đã triển khai CMMI thành công. Cụ thể, các công ty như TMA, Misa có sự đầu tư và chuẩn bị từ hơn 3 năm trước khi triển khai CMMI. Các công ty như ISB Việt Nam, NEO, GHP Far East, UNITECH, có đội dự án đã nỗ lực rất cao trong việc cải tiến quy trình phát triển phần mềm của DN mình. Fujinet áp dụng các công cụ tự xây dựng vào quy trình phát triển phần mềm của công ty hỗ trợ cho các đội dự án áp dụng quy trình được dễ dàng và nhanh hơn…

Tuy nhiên, bên cạnh sự chuẩn bị tốt của các DN đã thành công với CMMI cũng có nhiều DN gặp khó khăn, vướng mắc và không thể vượt qua được nên có những dự án gãy ngay từ đầu hoặc đi nửa chặng phải dừng lại. Những nguyên nhân dẫn đến sự thất bại của các DN này là, nhiều DN không có đủ dự án để tham gia triển khai và đánh giá cấp chứng chỉ. Các DN gia công ngoài khó kiếm được dự án để tham gia đánh giá SCAMPI A. Nhiều dự án triển khai rơi vào giai đoạn cuối năm, các DN phải tập trung nguồn lực cho các dự án của khách hàng của họ để kịp đóng các dự án này trong năm nên việc dự án bị đình trệ. Một số DN không đủ nguồn lực phải cử những người chưa đủ kinh nghiệm và kiến thức về phát triển dự án phần mềm tham gia dự án CMMI dẫn đến khó khăn trong xây dựng quy trình. Hay việc thay đổi trưởng dự án, thay đổi ban giám đốc của công ty cũng làm dự án gặp khó khăn. Thủ tục giấy tờ để kết thúc các dự án tương đối phức tạp, sử dụng nhiều nguồn lực và thời gian hơn dự tính ban đầu. Tình hình kinh tế khó khăn nên một vài công ty thanh toán chậm trễ hoặc không có khả năng tiếp tục dự án dẫn đến huỷ hợp đồng…

Tận dụng hỗ trợ của nhà nước

Ông Nguyễn Trọng Đường, Vụ trưởng Vụ CNTT-TT, Bộ TTTT cho biết, chất lượng kinh doanh của các DN rất yếu. Các DN làm gia công cho nước ngoài gặp khá nhiều khó khăn, do yêu cầu về tính chuẩn mực cũng như mức độ an toàn thông tin của họ rất cao. Để DN phần mềm và nội dung số Việt Nam ngang tầm với nước ngoài, Bộ TTTT tiếp tục hỗ trợ triển khai CMMI giai đoạn 2 (2012 đến 30/9/2014). Theo đó, dự án “Hỗ trợ các DN xây dựng, áp dụng quy trình sản xuất theo tiêu chuẩn CMMI”  được điều chỉnh mở rộng hỗ trợ triển khai song song cả ISO 27001.

Ông Đường nhấn mạnh, việc triển khai ISO 27001 là yêu cấp thiết đối với các DN phần mềm và nội dung số. Thế giới đánh giá mức độ an toàn thông tin (ATTT)  trong các DN của Việt Nam rất yếu. Ở các lĩnh vực khác như ngân hàng, DN dạt tiêu chuẩn ISO rất nhiều nhưng ở lĩnh vực CNTT số đạt rất ít. Trong bối cảnh siết chặt chi tiêu công hiện nay, Bộ TTTT đã rất cố gắng để xin được kinh phí hỗ trợ cho các DN trong dự án này, do vậy các DN nên tận dụng. Kinh phí hỗ trợ cho DN làm CMMI và ISO 27001 được thanh toán cho nhà thầu tư vấn theo khối tư vấn thực tế, không được vượt quá mức hỗ trợ của Nhà nước. DN chỉ chuẩn bị nhân lực, tài chính và các nguồn lực khác để triển khai.  

Dự kiến, đến 2014 dự án hỗ trợ thêm cho khoảng 20 DN làm CMMI và ISO 27001. Ngoài 12 DN đã đạt chứng chỉ CMMI level 3 và level 5 (giai đoạn 2010 – 2012), BQLDA đang hỗ trợ cho khoảng 10 DN khác. Bộ TTTT sẽ mở các khoá đào tạo về CMMI, và 4 gói thầu về tư vấn hỗ trợ các DN ISO 27001 (trong đó: 2 gói thầu tư vấn xây dựng quy trình ISO 27001 cho khoảng 15 DN; Và 2 gói thầu đánh giá chứng chỉ ISO 27001 cho khoảng 20 DN). Để tham gia các gói thầu này các DN phải nỗ lực rất nhiều, phải chứng tỏ được năng lực của DN mình, đồng thời phải có kinh phí cho việc xây dựng quy trình.

Kế hoạch triển khai CMMI (giai đoạn 2012 đến 2014) dự kiến sẽ chọn 11 DN phần mềm. Công ty (nhà thầu tư vấn) sẽ gửi danh sách các DN muốn tham gia dự án cho Bộ TTTT trong tháng 9/2012; Bộ TTTT chọn ra danh sách 11 DN được phê duyệt, sau đó sẽ soạn thảo và ký kết hợp đồng 3 bên; Tháng 12/2012 khởi động dự án; từ 1 – 5/2012 tổ chức đào tạo CMMI; 6 – 9/2013 xây dựng quy trình phát triển phần mềm theo mô hình CMMI; 10/2013 – 4/2014 triển khai quy trình PTPM vào các dự án của DN; 5 – 10/2014 tổ chức đánh giá cấp chứng chỉ cho 11 DN.

Lợi ích của chứng chỉ ISO 27001 Bà Nguyễn Ngọc Đài Trang, Phó Giám đốc Cơ quan Phát triển Tiêu chuẩn BS 7799 cho biết, đầu tư vào tiêu chuẩn ISO 27001 là đầu tư cho tương lai cho một tổ chức. Hệ thống quản lý dựa trên nền tảng quản lý rủi ro giúp các tổ chức lập kế hoạch, thực thi và duy trì hệ thống quản lý an toàn thông tin; giúp các tổ chức thực thi và tiếp cận đến các biện pháp ANTT; hạn chế các nguy hại mà các tổ chức gặp phải được gây ra bởi hành động cố tình hay ngẫu nhiên. Cụ thể, chứng nhận ISO 27001 là cơ sở để tính đến các yêu cầu về hợp đồng, quy chế và quy tắc pháp lý của công ty; thể hiện DN có năng lực chứng minh sự bền vững độc lập, kiểm soát nội bộ tổ chức (quản trị DN); là một hình thức minh chứng rằng, cấp quản lý cao cấp cam kết bảo mật thông tin kinh doanh và thông tin của khách hàng; đem lại lợi thế cạnh tranh cho DN; giảm thiểu thời gian và công sức khi tổ chức được kiểm soát đánh giá nội bộ hoặc đánh giá bên ngoài; Thuận lợi trong việc huy động vốn và nguồn lực cho nhóm và mục tiêu ATTT; xác định và quản lý được các rủi ro mà tổ chức sẽ gặp phải; cho khách hàng thấy rằng thông tin của họ hoàn toàn được bảo mật…

 

Quỳnh Anh
Tin học & đời sống  9.2012 – số 165