Trong hoạt động ngân hàng, tổ chức chỉ có hệ thống thông tin từ cấp độ 2 trở xuống thì có cần thành lập bộ phận chuyên trách về an toàn thông tin không?

Nội dung chính

• Trong hoạt động ngân hàng, tổ chức chỉ có hệ thống thông tin từ cấp độ 2 trở xuống thì có cần thành lập bộ phận chuyên trách về an toàn thông tin không?
• Tuyển dụng và phân công nhiệm vụ để bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng được thực hiện như thế nào?
• Người làm việc trong lĩnh vực công nghệ thông tin của tổ chức hoạt động ngân hàng bị kỷ luật sa thải thì tổ chức phải thông báo cho cơ quan nào?

Trong hoạt động ngân hàng, tổ chức chỉ có hệ thống thông tin từ cấp độ 2 trở xuống thì có cần thành lập bộ phận chuyên trách về an toàn thông tin không?

Căn cứ theo khoản 2, khoản 3 Điều 13 Thông tư 09/2020/TT-NHNN quy định như sau:

Tổ chức nguồn nhân lực

1. Người đại diện hợp pháp phải trực tiếp tham gia chỉ đạo và có trách nhiệm trong công tác xây dựng chiến lược, kế hoạch về bảo đảm an toàn thông tin, ứng cứu các sự cố an toàn thông tin xảy ra tại tổ chức.

2. Tổ chức chỉ có hệ thống thông tin từ cấp độ 2 trở xuống chỉ định bộ phận có trách nhiệm đảm bảo an toàn thông tin.

3. Tổ chức quản lý trực tiếp hệ thống thông tin từ cấp độ 3 trở lên thực hiện:

a) Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin có chức năng, nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an toàn thông tin cho tổ chức;

b) Tách biệt nhân sự giữa các nhiệm vụ: (i) Phát triển với quản trị hệ thống thông tin; (ii) Phát triển với vận hành hệ thống thông tin; (iii) Quản trị với vận hành hệ thống thông tin; (iv) Kiểm tra về an toàn thông tin với phát triển, quản trị, vận hành hệ thống thông tin.

Như vậy trong hoạt động ngân hàng, tổ chức chỉ có hệ thống thông tin từ cấp độ 2 trở xuống thì không cần thành lập bộ phận chuyên trách về an toàn thông tin mà chỉ cần chỉ định bộ phận có trách nhiệm đảm bảo an toàn thông tin.

Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin thực hiện đối với tổ chức quản lý trực tiếp hệ thống thông tin từ cấp độ 3 trở lên.

Hoạt động ngân hàng

Tuyển dụng và phân công nhiệm vụ để bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng được thực hiện như thế nào?

Căn cứ theo Điều 14 Thông tư 09/2020/TT-NHNN quy định như sau:

Tuyển dụng và phân công nhiệm vụ

Tổ chức tuyển dụng nhân sự và phân công nhiệm vụ theo quy định sau:

1. Xác định trách nhiệm trong việc bảo đảm an toàn thông tin của vị trí cần tuyển dụng hoặc phân công.

2. Xem xét, đánh giá tư cách đạo đức, trình độ chuyên môn thông qua lý lịch, lý lịch tư pháp trước khi phân công nhân sự làm việc tại các vị trí quan trọng của hệ thống thông tin như: vận hành hệ thống thông tin từ cấp độ 3 trở lên hoặc quản trị hệ thống thông tin.

3. Yêu cầu người được tuyển dụng cam kết bảo mật thông tin bằng văn bản riêng hoặc cam kết trong hợp đồng lao động. Cam kết này phải bao gồm các Điều Khoản về trách nhiệm bảo đảm an toàn thông tin trong và sau khi làm việc tại tổ chức.

4. Đào tạo, phổ biến các quy định của tổ chức về an toàn thông tin đối với nhân sự mới tuyển dụng.

Người làm việc trong lĩnh vực công nghệ thông tin của tổ chức hoạt động ngân hàng bị kỷ luật sa thải thì tổ chức phải thông báo cho cơ quan nào?

Căn cứ theo khoản 6 Điều 16 Thông tư 09/2020/TT-NHNN quy định như sau:

Chấm dứt hoặc thay đổi công việc

Khi cá nhân trong tổ chức chấm dứt hoặc thay đổi công việc, tổ chức thực hiện:

1. Xác định trách nhiệm của cá nhân khi chấm dứt hoặc thay đổi công việc.

2. Yêu cầu cá nhân bàn giao lại tài sản công nghệ thông tin.

3. Thu hồi ngay quyền truy cập hệ thống thông tin của cá nhân nghỉ việc.

4. Thay đổi kịp thời quyền truy cập hệ thống thông tin của cá nhân thay đổi công việc bảo đảm nguyên tắc quyền vừa đủ để thực hiện nhiệm vụ được giao.

5. Rà soát, kiểm tra đối chiếu định kỳ tối thiểu sáu tháng một lần giữa bộ phận hoặc hệ thống quản lý nhân sự và bộ phận quản lý cấp phát, thu hồi quyền truy cập hệ thống thông tin nhằm bảo đảm tuân thủ khoản 3, khoản 4 Điều này.

6. Thông báo cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) các trường hợp cá nhân làm việc trong lĩnh vực công nghệ thông tin của tổ chức bị kỷ luật với hình thức sa thải, buộc thôi việc hoặc bị truy tố về các tội quy định tại Mục 2 Chương XXI Bộ luật Hình sự (Tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông).

Như vậy khi có cá nhân làm việc trong lĩnh vực công nghệ thông tin của tổ chức hoạt động ngân hàng bị kỷ luật sa thải thì tổ chức phải thông báo cho Ngân hàng Nhà nước (Cục Công nghệ thông tin).