Vị trí quản trị hệ thống thông tin ngân hàng phải cam kết bảo mật thông tin bằng văn bản riêng hoặc cam kết trong hợp đồng lao động. Theo thông tư 18 quy định về đảm bảo an toàn hệ thống thông tin trong hoạt động ngân hàng sẽ có hiệu lực từ ngày 1/1/2019.
Thông tư 18 quy định về đảm bảo an toàn HTTT trong hoạt động ngân hàng được áp dụng với các tổ chức tín dụng (trừ quỹ tín dụng nhân dân, tổ chức tài chính vi mô), chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán (gọi chung là tổ chức).
Thông tư 18 quy định, tổ chức có trách nhiệm đảm bảo an toàn thông tin (ATTT) theo nguyên tắc xác định rõ quyền hạn, trách nhiệm từng bộ phận và cá nhân trong tổ chức; phân loại HTTT theo mức độ quan trọng và áp dụng chính sách ATTT phù hợp; nhận biết, phân loại, đánh giá kịp thời và xử lý có hiệu quả các rủi ro CNTT có thể xảy ra trong tổ chức; xây dựng, triển khai quy chế ATTT trên cơ sở các quy định tại Thông tư này và hài hòa giữa lợi ích, chi phí và mức độ chấp nhận rủi ro của tổ chức.
Cũng theo Thông tư 18, thông tin xử lý, lưu trữ thông qua HTTT được phân loại theo thuộc tính bí mật, cụ thể: Thông tin công cộng là thông tin được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó; Thông tin nội bộ là thông tin của tổ chức được phân quyền quản lý, khai thác cho một hoặc một nhóm đối tượng trong tổ chức được xác định danh tính; Thông tin bí mật là thông tin được xếp ở mức Mật theo quy định của tổ chức và hạn chế đối tượng được tiếp cận; Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước.
Tiêu chí phân loại theo mức độ quan trọng HTTT của các tổ chức gồm: HTTT thông thường (mức độ 1) là HTTT phục vụ hoạt động nội bộ của tổ chức hoặc phục vụ khách hàng nhưng không xử lý thông tin bí mật. HTTH quan trọng (mức độ 2) là HTTT có một trong các tiêu chí: HTTT có xử lý thông tin bí mật; HTTT phục vụ hoạt động nội bộ hàng ngày của tổ chức và không chấp nhận ngừng vận hành quá 4 giờ làm việc; HTTT phục vụ khách hàng yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; HTTT cung cấp dịch vụ trực tuyến cho khách hàng.
HTTT đặc biệt quan trọng (mức độ 3) là HTTT có một trong các tiêu chí: HTTT quốc gia trong ngành ngân hàng phục vụ phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; hệ thống cơ sở hạ tầng thông tin dùng chung trong ngành ngân hàng phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.
Trong trường hợp HTTT bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với một mức độ quan trọng khác nhau, theo hướng dẫn của NHNN tại Thông tư 18, sẽ phân loại HTTT xác định theo mức độ quan trọng của hệ thống thành phần cung cấp hoạt động kỹ thuật, nghiệp vụ chính. Danh sách HTTT theo mức độ quan trọng phải được người đại diện hợp pháp phê duyệt.
Đáng chú ý, về quản lý nguồn lực để bảo đảm an toàn HTTT trong hoạt động ngân hàng, Thông tư 18 quy định, người đại diện hợp pháp phải trực tiếp tham gia chỉ đạo và có trách nhiệm trong công tác xây dựng chiến lược, kế hoạch về bảo đảm ATTT, ứng cứu các sự cố an ninh mạng xảy ra tại tổ chức.
Tổ chức quản lý trực tiếp HTTT mức độ 2 trở lên phải thành lập hoặc chỉ định bộ phận chuyên trách về ATTT có chức năng, nhiệm vụ bảo đảm ATTT và ứng cứu sự cố an ninh mạng cho tổ chức; thành lập hoặc chỉ định bộ phận chuyên trách để quản lý vận hành trung tâm điều hành an ninh mạng đáp ứng yêu cầu quy định tại Điều 46 Thông tư này (không áp dụng với chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức tín dụng phi ngân hàng); tách biệt nhân sự giữa các nhiệm vụ (phát triển với quản trị HTTT, phát triển với vận hành HTTT, quản trị với vận hành HTTT, kiểm tra về ATTT với phát triển, quản trị, vận hành HTTT).
Đối với việc tuyển dụng và phân công nhiệm vụ, tại Thông tư 18, NHNN yêu cầu, phải xác định trách nhiện trong việc bảo đảm ATTT của vị trí cần tuyển dụng hoặc phân công.
Đặc biệt, trước khi phân công nhân sự làm việc tại các vị trí quan trọng của HTTT như vận hành HTTT mức độ 3 hoặc quản trị HTTT, các tổ chức phải xem xét, đánh giá tư cách đạo đức, trình độ chuyên môn của nhân sự đó qua thông qua lý lịch, lý lịch tư pháp.
Khi được tuyển dụng, các nhân sự nêu trên phải cam kết bảo mật thông tin bằng văn bản riêng hoặc cam kết trong hợp đồng lao động. Cam kết này bao gồm cac điều khoản về trách nhiệm bảo đảm ATTT trong và sau khi làm việc tại tổ chức. Các tổ chức cũng được yêu cầu phải đào tạo, phổ biến các quy định của tổ chức mình về ATTT với nhân sự mới tuyển dụng.
Về tổ chức quản lý sử dụng nguồn nhân lực, theo Thông tư 18, cùng với việc phổ biến, cập nhật các quy định về ATTT cho tất cả cá nhân trong tổ chức tối thiểu mỗi năm một lần, các tổ chức còn phải: kiểm tra việc tuân thủ các quy định về ATTT đối với cá nhân, bộ phận trực thuộc tối thiểu mỗi năm một lần; áp dụng các biện pháp xử lý kỷ luật đối với cá nhân, bộ phận vi phạm quy định ATTT theo quy định của pháp luật và quy định của tổ chức.
Khi cá nhân trong tổ chức chấm dứt hoặc thay đổi công việc, tổ chức thực hiện: xác định trách nhiệm của cá nhân khi chấm dứt hoặc thay đổi công việc; yêu cầu cá nhân bàn giao lại tài sản CNTT; thu hồi ngay quyền truy cập HTTT của cá nhân nghỉ việc; thay đổi kịp thời quyền truy cập HTTT của cá nhân thay đổi công việc bảo đảm nguyên tắc quyền vừa đủ để thực hiện nhiệm vụ được giao.
Đồng thời, các tổ chức cũng được yêu cầu phải rà soát, kiểm tra, đối chiếu định kỳ tối thiểu 6 tháng/lần giữa bộ phận quản lý nhân sự và bộ phận quản lý cấp phát,thu hồi quyền truy cập HTTT nhằm bảo đảm tuân thủ khoản 3 và 4 Điều 15 – “Chấm dứt hoặc thay đổi công việc” của Thông tư 18; thông báo cho NHNN, cụ thể là Cục CNTT các trường hợp cá nhân làm việc trong lĩnh vực CNTT của tổ chức bị kỷ luật với hình thức sa thải, buộc thôi việc hoặc bị truy tố trước pháp luật do vi phạm quy định về ATTT.
Theo ICTNEWS