CSO - người “gác cửa” an ninh thông tin tài chính quốc gia

Trong bối cảnh an toàn an ninh thông tin tại Việt Nam nói chung và ngành Tài chính nói riêng trở nên “nóng” hơn bao giờ hết, thì Giám đốc an ninh thông tin (CSO) đóng một vai trò then chốt trong việc đảm bảo an toàn an ninh thông tin nói chung trong đó có ngành Tài chính – ngành nắm giữ “huyết mạch” tài chính quốc gia. Tạp chí Tài chính điện tử đã có cuộc trò chuyện với ông Võ Anh Trung, Phó Cục trưởng Cục Tin học và Thống kê tài chính - người vừa được vinh danh trong số 20 CIO - CSO tiêu biểu khối ASEAN năm 2014.

CSO - người “gác cửa” an ninh thông tin tài chính quốc gia
Theo ông, CSO có vai trò như thế nào đối với sự an toàn an ninh thông tin của tổ chức?
 
Ông Võ Anh Trung: Theo tôi vai trò của CSO trong bối cảnh hiện nay là vừa phải đề ra và triển khai các giải pháp cấp bách trước mắt để tăng cường an toàn, an ninh thông tin, nhất là đối với các hệ thống thông tin trọng yếu, vừa phải xây dựng và triển khai được các kế hoạch, giải pháp mang tính bài bản, dài hạn.
 
CSO cũng có vai trò rất quan trọng trong việc điều phối, tổ chức kiểm tra đảm bảo chất lượng công tác an toàn, an ninh thông tin toàn ngành, giúp việc cho CIO trong việc đảm bảo việc xây dựng, triển khai các dự án CNTT tuân thủ các chuẩn mực, quy định về an toàn, an ninh thông tin.
 
Xin ông cho biết cảm nghĩ khi trở thành CSO tiêu biểu của khối ASEAN và kế hoạch hành động của ông khi trở thành CSO?
 
Trước hết đây là thành quả công tác an toàn, an ninh thông tin của ngành Tài chính, nhất là Phòng Quản lý an ninh thông tin thuộc Cục Tin học và Thống kê tài chính (Bộ Tài chính). Được nhận giải CSO vừa là vinh dự nhưng cũng đồng thời là trách nhiệm, yêu cầu nhiều hơn đối với tôi trong công tác an toàn, an ninh thông tin của ngành Tài chính.
 
Kế hoạch của tôi là sẽ tiếp tục tham gia, đề xuất triển khai một số nội dung lớn như triển khai các giải pháp cấp bách về an toàn, an ninh thông tin và kiện toàn tổ chức bộ máy an toàn, an ninh thông tin.
 
Hoàn chỉnh cơ cấu quản lý an toàn thông tin như hoàn thiện tổ chức bộ phận chuyên trách về quản lý an toàn thông tin; quy định đầy đủ và rõ ràng các vai trò, trách nhiệm và mối quan hệ giữa các đơn vị, bộ phận và từng vị trí công tác trong công tác đảm bảo an toàn thông tin.
 
Cùng với đó là nâng cao năng lực đội ngũ cán bộ làm công tác đảm bảo an toàn thông tin, xây dựng các tiêu chuẩn về năng lực, đào tạo nâng cao năng lực cán bộ quản lý và kỹ thuật làm công tác đảm bảo an toàn thông tin; hình thành đội ngũ chuyên gia về an toàn thông tin.
 
Đồng thời, xây dựng và triển khai các kế hoạch, giải pháp dài hạn về an toàn, an ninh thông tin. Thời gian tới, ngành Tài chính sẽ từng bước áp dụng các chuẩn mực quốc tế về an toàn, an ninh thông tin phù hợp với Bộ Tài chính. Theo các tiêu chuẩn, thông lệ về quản lý an toàn thông tin của thế giới, mỗi cơ quan, tổ chức cần ban hành chính sách an toàn thông tin, làm nền tảng cho các hoạt động đảm bảo an toàn thông tin của đơn vị. Chính sách này cần được rà soát định kỳ, hoặc khi có thay đổi lớn để đảm bảo phù hợp và thực sự có hiệu lực.
 
Cuối năm 2012, thay  vì  xây dựng Chính sách an toàn thông tin của ngành Tài chính, Cục Tin học và Thống kê tài chính đã xây dựng, lấy ý kiến và trình Bộ ban hành Quy địnhđảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính (Quyết định số 2615/QĐ-BTC ngày 19/10/2012 của Bộ trưởng Bộ Tài chính).
 
Quy định an toàn thông tin này đã có tác dụng rất tốt, làm cơ sở để các đơn vị thuộc Bộ Tài chính và các cơ quan tài chính địa phương rà soát, đánh giá và triển khai các hoạt động đảm bảo an toàn thông tin theo chiều sâu, nâng chất lượng và hiệu quả của công tác này thêm một mức trong năm 2013. Tuy nhiên, quy định này mới chỉ bao gồm một số vấn đề thiết yếu phù hợp với năng lực thực hiện của ngành Tài chính tại thời điểm ban hành, chưa đủ đáp ứng yêu cầu đối với công tác này trong tình hình phức tạp hiện nay.
 
Theo tôi, để nâng cao hơn nữa chất lượng công tác đảm bảo an toàn thông tin của toàn ngành Tài chính, đáp ứng yêu cầu của giai đoạn 2014-2015, tầm nhìn 2020, đồng thời căn cứ năng lực đáp ứng của các đơn vị, Cục Tin học và Thống kê tài chính và các đơn vị thuộc Bộ thống nhất đề xuất với Bộ điều chỉnh bổ sung Quy định về việc đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính thay thế Quy định ban hành tại Quyết định 2615/QĐ-BTC.
 
Ông sẽ đóng góp gì cho việc đảm bảo an toàn an ninh thông tin của ngành Tài chính trong thời gian tới?
 
Tôi sẽ tiếp tục tham gia tổ chức triển khai các nhiệm vụ Bộ giao cho Cục Tin học và Thống kê tài chính trong năm 2015. Đó là xây dựng văn bản hướng dẫn yêu cầu kiến thức về an toàn thông tin đối với cán bộ của ngành Tài chính.
 
Mặt khác, tiếp tục xây dựng hướng dẫn khung quy trình ứng phó sự cố khẩn cấp. Thiết lập cơ chế ứng phó hiệu quả và kịp thời với các sự cố, vi phạm và tấn công về an toàn thông tin. Muốn vậy, chúng tôi sẽ nghiên cứu tình hình, xu hướng tấn công và giải pháp đảm bảo an toàn thông tin của Việt Nam và thế giới và khả năng ứng dụng vào công tác đảm bảo an toàn thông tin của ngành Tài chính; đẩy mạnh các hoạt động hợp tác, phối hợp về an toàn thông tin với các cơ quan chức năng, các tổ chức, chuyên gia có uy tín về an toàn thông tin.
 
Tiến tới triển khai các dự án nâng cấp hệ thống kỹ thuật an toàn thông tin của cơ quan Bộ Tài chính và các Tổng cục theo quy định về quản lý dự án công nghệ thông tin của Nhà nước và Bộ Tài chính, đáp ứng yêu cầu: Phòng chống mã độc; phát hiện và khắc phục các điểm yếu an toàn thông tin; phát hiện và chống các tấn công trên hệ thống mạng (đặc biệt là Internet); kết xuất báo cáo phục vụ công tác phân tích, đánh giá tình hình về an toàn thông tin mạng.
 
Đồng thời, thiết lập điều kiện kỹ thuật và cơ chế hỗ trợ đảm bảo an toàn thông tin mức cơ bản cho các cơ quan tài chính địa phương (tập trung khía cạnh đảm bảo an toàn cho các hệ thống dùng chung của ngành Tài chính mà các trang bị kỹ thuật hiện tại của đơn vị chưa đáp ứng, gây ảnh hưởng nghiêm trọng tới tính an toàn của các hệ thống này).
 
Nội dung sẽ được thực hiện trong thời gian tới tại cơ quan Tài chính là thí điểm tiêu chuẩn an toàn thông tin TCVN ISO/IEC 27001:2009 tại Bộ Tài chính và rút ra bài học kinh nghiệm cho việc triển khai diện rộng; cập nhật bổ sung các nội dung theo tiêu chuẩn Việt Nam về quy tắc thực hành quản lý an toàn thông tin TCVN ISO/IEC 27002:2011. Cũng như việc xây dựng “Kế hoạch đảm bảo an toàn thông tin của ngành Tài chính giai đoạn 2016-2020, tầm nhìn 2030” sẽ được ban hành trong năm 2015. 
 
Đặc biệt, công tác kiểm tra tuân thủ về an toàn thông tin tại các đơn vị thuộc Bộ cũng đặc biệt được quan tâm bằng nhiều biện pháp như kiểm tra, kiểm toán về công nghệ thông tin (bao gồm kiểm tra, kiểm toán về an toàn thông tin). Cao hơn nữa là thực hiện đào tạo, nâng cao nhận thức thường xuyên cho toàn thể cán bộ, công chức, viên chức ngành Tài chính, thúc đẩy hình thành văn hóa có nhận thức cao về an toàn thông tin trong ngành Tài chính.
 
Xin cảm ơn ông!

(T.Hương - thực hiện)