Hỗ trợ xây dựng Dự án an toàn bảo mật thông tin ngành Tài chính

An toàn bảo mật thông tin đang trở thành vấn đề bức thiết hơn lúc nào hết, càng đặc biệt hơn khi đặc thù của ngành Tài chính với sự đa dạng về nghiệp vụ cũng như khối lượng thông tin kinh tế vĩ mô khổng lồ.

Quang cảnh buổi hội thảo.Quang cảnh buổi hội thảo.

Với mục tiêu hỗ trợ Bộ Tài chính Việt Nam đánh giá hiện trạng việc quản trị CNTT, quản lý và hoạt động đảm bảo an toàn bảo mật thông tin của Bộ Tài chính và các đơn vị hành chính trực thuộc theo các tiêu chuẩn quốc tế, đồng thời, đánh giá mức độ an ninh của hệ thống TABMIS bằng phương pháp soát xét bảo mật kỹ thuật, hôm nay, ngày 8/10, Công ty TNHH PricewaterhouseCoopers Việt Nam (PwC) đã tiến hành báo cáo hiện trạng, cũng như đưa ra lộ trình đảm bảo an toàn bảo mật thông tin cho ngành Tài chính tới năm 2020.

Theo ông Võ Anh Trung, Phó Cục trưởng Cục Tin học và Thống kê tài chính (Bộ Tài chính), Giám đốc Dự án “An toàn Bảo mật Thông tin ngành Tài chính”, hiện ngành Tài chính đang triển khai một loạt dự án lớn như TABMIS, ITAB, VNACSS... đều có sự liên thông từ trung ương đến địa phương, do đó, vấn đề an ninh bảo mật mạng máy tính ngày càng cấp thiết.

"Tôi cho rằng ngành Tài chính cần đánh giá tổng hợp từ thiết bị, nhân sự, chính sách trong bối cảnh thông tin ngành Tài chính đang trải dài như “xa lộ”. Có thể nói, Dự án lần này sẽ giúp Bộ Tài chính đánh giá hiện trạng an ninh bảo mật, từ đó đưa ra giải pháp cũng như lộ trình thực hiện phù hợp với chuẩn mực quốc tế, đáp ứng yêu cầu an ninh bảo mật đang ngày càng cao hiện nay", ông Trung cho biết.

Về phía mình, ông Richard Peters, đại diện Công ty PwC cũng cám ơn sự hỗ trợ của Bộ Tài chính và các đơn vị tham gia Dự án trong việc hỗ trợ, cung cấp thông tin giúp nhà thầu tư vấn đưa ra được đánh giá chung nhất hiện trạng an toàn bảo mật của ngành Tài chính.

Ông Ismail Awang chia sẻ thêm về mục tiêu kiểm soát thông tin và công nghệ (COBIT). Chuẩn COBIT là nhằm tạo khuôn khổ hỗ trợ các tổ chức đạt được các mục tiêu của tổ chức trong công tác quản trị và quản lý lĩnh vực công nghệ thông tin. Theo đó, tổ chức cần đảm bảo các nhu cầu, điều kiện và lựa chọn của các bên liên quan được đánh giá định ra mức cân bằng, thống nhất về các mục tiêu của tổ chức cần đạt được, đồng thời, đưa ra đường lối chính sách thông qua việc đánh giá mức độ ưu tiên và ra quyết định. Yếu tố thứ ba là giám sát các hoạt động và sự tuân thủ theo các đường lối và mục tiêu đã được thỏa thuận. Về mặt quản lý, việc quản lý các hoạt động về việc lên kế hoạch, xây dựng, vận hành và giám sát cần phải phù hợp với đường lối của Ban Quản lý để đạt được các mục tiêu của tổ chức.

Dựa vào các mục tiêu quan trọng của tổ chức gồm việc "gắn kết giữa CNTT và chiến lược" của tổ chức; Tuân thủ và sự hỗ trợ của CNTT trong việc tuân thủ của tổ chức đối với các luật định liên quan; Cam kết của các cấp lãnh đạo trong việc ra quyết định liên quan đến CNTT; Quản lý rủi ro liên quan đến CNTT trong hoạt động của tổ chức; Các dịch vụ CNTT đáp ứng nhu cầu trong hoạt động của tổ chức; Ứng dụng đầy đủ các giải pháp công nghệ, ứng dụng và thông tin; Bảo mật thông tin, cơ sở hạ tầng, ứng dụng; Thúc đẩy và hỗ trợ trong các quy trình hoạt động bằng việc tích hợp các ứng dụng và công nghệ vào các quy trình; Sự sẵn sàng của các thông tin tin cậy và hữu dụng cho Ban Lãnh đạo ra quyết định; Tuân thủ của hoạt động CNTT với các chính sách nội bộ; Kỹ năng và tinh thần của nguồn nhân lực nghiệp vụ và CNTT... PwC đã xác định chỉ có 7/37 quy trình nghiệp vụ đảm bảo an toàn bảo mật hiện nay của ngành Tài chính là đáp ứng hoàn toàn yêu cầu, còn có tới 30/37 quy trình chưa đạt mức đáp ứng hoàn toàn (có giá trị mức đánh giá thấp hơn 75%).

Còn theo chuẩn ISO 27001, 72% các câu hỏi khảo sát đều đánh giá đáp ứng phần lớn yêu cầu. Trong đó, 2/39 số lượng (chiếm 5%) quy trình hoàn toàn đáp ứng yêu cầu, đáng chú ý, có 37/39 (95%) quy trình không hoàn toàn đáp ứng.

“Chính vì thế, thời gian tới, bên cạnh việc xây dựng quy trình bảo mật đạt chuẩn ISO 27001, có 2 điểm mà Bộ Tài chính cần tập trung nâng cao là quản lý sự cố khẩn cấp và bảo mật thông tin liên tục. Mặt khác, việc xây dựng hành lang pháp lý về bảo mật cũng như nâng cao nhận thức, đào tạo kỹ năng cho nhân lực công nghệ thông tin cũng là vấn đề cần được ngành Tài chính chú ý trong thời gian tới” - Ông Ismail Awang nhấn mạnh...

(T.Hương)