Về quy định quản lý nguồn lực để bảo đảm an toàn thông tin trong hoạt động ngân hàng, dự thảo thông tư mới cho hay, người đại diện hợp pháp phải trực tiếp tham gia chỉ đạo, có trách nhiệm trong công tác xây dựng chiến lược, kế hoạch về bảo đảm ATTT, ứng cứu các sự cố an ninh mạng xảy ra tại tổ chức.

{keywords}
Nhân viên của Viettel đang theo dõi các đợt tấn công mạng. Ảnh minh họa

Tổ chức chỉ có hệ thống thông tin cấp độ 2 trở xuống chỉ định bộ phận có trách nhiệm đảm bảo an toàn thông tin. Tổ chức quản lý trực tiếp hệ thống thông tin cấp độ 3 trở lên sẽ thực hiện việc thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin có chức năng, nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an ninh mạng cho tổ chức; Thành lập hoặc chỉ định bộ phận chuyên trách để quản lý vận hành trung tâm điều hành an ninh mạng đáp ứng yêu cầu quy định tại Điều 47 Thông tư này (không áp dụng với chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức tín dụng phi ngân hàng, tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở,công ty thông tin tín dụng, Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam, Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam); Tách biệt nhân sự giữa các nhiệm vụ: (i) Phát triển với quản trị hệ thống thông tin; (ii) Phát triển với vận hành hệ thống thông tin; (iii) Quản trị với vận hành hệ thống thông tin; (iv) Kiểm tra về an toàn thông tin với phát triển, quản trị, vận hành hệ thống thông tin.

Đối với việc tuyển dụng và phân công nhiệm vụ, tại dự thảo thông tư, NHNN yêu cầu, phải xác định trách nhiện trong việc bảo đảm ATTT của vị trí cần tuyển dụng hoặc phân công.

 
Nhân sự quản trị hệ thống an toàn thông tin ngân hàng phải bảo mật thông tin. Ảnh TTX

Đặc biệt, trước khi phân công nhân sự làm việc tại các vị trí quan trọng của hệ thống thông tin như vận hành  mức độ 3 hoặc quản trị hệ thống thông tin, các tổ chức phải xem xét, đánh giá tư cách đạo đức, trình độ chuyên môn của nhân sự đó qua thông qua lý lịch, lý lịch tư pháp.

Khi được tuyển dụng, các nhân sự nêu trên phải cam kết bảo mật thông tin bằng văn bản riêng hoặc cam kết trong hợp đồng lao động. Cam kết này bao gồm cac điều khoản về trách nhiệm bảo đảm ATTT trong và sau khi làm việc tại tổ chức. Các tổ chức cũng được yêu cầu phải đào tạo, phổ biến các quy định của tổ chức mình về ATTT với nhân sự mới tuyển dụng.

Về tổ chức quản lý sử dụng nguồn nhân lực, theo dự thảo thông tư, cùng với việc phổ biến, cập nhật các quy định về ATTT cho tất cả cá nhân trong tổ chức tối thiểu mỗi năm một lần, các tổ chức còn phải: kiểm tra việc tuân thủ các quy định về ATTT đối với cá nhân, bộ phận trực thuộc tối thiểu mỗi năm một lần; áp dụng các biện pháp xử lý kỷ luật đối với cá nhân, bộ phận vi phạm quy định ATTT theo quy định của pháp luật và quy định của tổ chức.

Khi cá nhân trong tổ chức chấm dứt hoặc thay đổi công việc, tổ chức thực hiện: xác định trách nhiệm của cá nhân khi chấm dứt hoặc thay đổi công việc; yêu cầu cá nhân bàn giao lại tài sản CNTT; thu hồi ngay quyền truy cập HTTT của cá nhân nghỉ việc; thay đổi kịp thời quyền truy cập HTTT của cá nhân thay đổi công việc bảo đảm nguyên tắc quyền vừa đủ để thực hiện nhiệm vụ được giao.

Đồng thời, các tổ chức cũng được yêu cầu phải rà soát, kiểm tra, đối chiếu định kỳ tối thiểu 6 tháng/lần giữa bộ phận quản lý nhân sự và bộ phận quản lý cấp phát,thu hồi quyền truy cập HTTT nhằm bảo đảm tuân thủ khoản 3 và 4 Điều 15 – “Chấm dứt hoặc thay đổi công việc” của Thông tư 18; thông báo cho NHNN, cụ thể là Cục CNTT các trường hợp cá nhân làm việc trong lĩnh vực CNTT của tổ chức bị kỷ luật với hình thức sa thải, buộc thôi việc hoặc bị truy tố trước pháp luật do vi phạm quy định về ATTT.

Anh Dũng