NGÂN
HÀNG NHÀ NƯỚC VIỆT NAM
-------
|
CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
---------
|
Số:
29/2008/QĐ-NHNN
|
Hà
Nội, ngày 13 tháng 10 năm 2008
|
QUYẾT ĐỊNH
BAN HÀNH QUY ĐỊNH VỀ BẢO TRÌ HỆ THỐNG TRANG THIẾT BỊ
TIN HỌC TRONG NGÀNH NGÂN HÀNG
THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC
Căn cứ Luật Ngân hàng Nhà nước
Việt Nam năm 1997 và Luật sửa đổi, bổ sung một số điều của Luật Ngân hàng Nhà
nước Việt Nam năm 2003;
Căn cứ Luật các Tổ chức tín dụng năm 1997 và Luật sửa đổi, bổ sung một số
điều của Luật các Tổ chức tín dụng năm 2004;
Căn cứ Nghị định số 96/2008/NĐ-CP ngày 26/08/2008 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn
và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;
Theo đề nghị của Cục trưởng Cục Công nghệ Tin học Ngân hàng,
QUYẾT ĐỊNH:
Điều 1.
Ban hành kèm theo Quyết định này Quy định về bảo trì
hệ thống trang thiết bị tin học trong ngành Ngân hàng.
Điều 2.
Quyết định này có hiệu lực thi hành sau 15 ngày kể từ
ngày đăng Công báo.
Điều 3.
Chánh Văn phòng, Cục trưởng Cục Công nghệ Tin học Ngân
hàng; Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước; Giám đốc Ngân hàng Nhà nước
chi nhánh tỉnh, thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị,
Tổng Giám đốc (Giám đốc) các Tổ chức tín dụng chịu trách nhiệm thi hành
Quyết định này./
Nơi nhận:
- Như điều 3;
- Ban Lãnh đạo NHNN;
- VPCP (02 bản);
- Bộ Tư pháp (để kiểm tra);
- Lưu VP, PC, THNH.
|
KT.THỐNG
ĐỐC
PHÓ THỐNG ĐỐC
Nguyễn Toàn Thắng
|
QUY ĐỊNH
VỀ BẢO TRÌ HỆ THỐNG TRANG THIẾT BỊ TIN HỌC TRONG NGÀNH NGÂN
HÀNG
(Ban
hành kèm theo Quyết định số 29./2008/QĐ-NHNN ngày 13/10/2008 của Thống đốc Ngân
hàng Nhà nước)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm
vi điều chỉnh và đối tượng áp dụng
1. Qui định này qui định các
tiêu chuẩn kỹ thuật, trình tự, thủ tục và các biện pháp bảo đảm an toàn, bảo mật
trong bảo trì hệ thống trang thiết bị tin học trong ngành Ngân hàng.
2. Qui định này áp dụng đối với
hệ thống Ngân hàng Nhà nước và các loại hình Tổ chức tín dụng ứng dụng công nghệ
thông tin trong hoạt động ngân hàng (sau đây gọi chung là Ngân hàng).
Điều 2. Giải
thích từ ngữ
1. Hệ thống trang thiết bị
tin học Ngân hàng trong Quy định này bao gồm các trang thiết bị phần cứng,
hệ thống mạng, các phần mềm tin học và cơ sở dữ liệu phục vụ cho một hoặc nhiều
hoạt động kỹ thuật nghiệp vụ của Ngân hàng.
2. Bảo trì là công việc duy tu,
bảo dưỡng hệ thống trang thiết bị trong suốt quá trình sử dụng, khai thác nhằm
duy trì khả năng làm việc, tăng tuổi thọ, sớm phát hiện và ngăn chặn nguy cơ hỏng
hóc, mất an toàn của từng thiết bị riêng lẻ, nhóm thiết bị hoặc cả hệ thống
trang thiết bị.
3. Bảo trì từ xa là
phương thức thực hiện công việc bảo trì thiết bị tin học và phần mềm từ xa
thông qua mạng máy tính của Ngân hàng.
4. Bảo trì đột xuất là
công việc khắc phục hoặc ngăn chặn kịp thời các sự cố kỹ thuật gây ảnh hưởng đến
hoạt động của Ngân hàng.
5. Bảo trì định kỳ là
công việc nhằm mục đích giúp hệ thống hoạt động liên tục trong điều kiện tốt,
thực hiện theo kế hoạch được lập trước.
6. Tự
bảo trì là công việc bảo trì do cán bộ kỹ thuật của Ngân hàng tự thực hiện.
7. Bảo hành là việc khắc
phục những lỗi hỏng hóc, sự cố kỹ thuật xảy ra do lỗi của nhà sản xuất trong thời
hạn bảo hành thiết bị hoặc phần mềm.
8. Kịch bản là tập hợp những
yêu cầu, thủ tục, tình huống, dữ liệu và kết quả thực hiện được xác định trước,
sử dụng cho quá trình kiểm tra, cài đặt, bảo hành, bảo trì các trang thiết bị,
phần mềm, cơ sở dữ liệu công nghệ thông tin.
9. Dịch vụ thuê ngoài là
việc bảo trì thông qua hợp đồng ký kết với các tổ chức làm dịch vụ bảo trì.
10. Sổ bảo trì là quyển sổ
do Ngân hàng lập ra để ghi lại nhật ký mỗi lần bảo trì. Sau mỗi lần bảo trì các
thông tin cơ bản cần ghi chép là: thời gian, địa điểm thực hiện, người thực hiện,
những công việc đã thực hiện và thực hiện chưa xong, đề xuất kiến nghị (nếu
có).
11. Phiếu bảo trì là dạng
tờ rời dùng để theo dõi quá trình sửa chữa, thay thế, thay đổi, lắp đặt thêm
cho thiết bị phần cứng, thiết bị mạng và được duy trì từ khi lắp đặt cho đến
khi không sử dụng nữa. Trên phiếu có các thông tin cơ bản về: thời gian, người
thực hiện và các thông tin liên quan đến việc thay đổi, lắp đặt thêm của thiết
bị.
12. Cán bộ quản lý là người được giao nhiệm vụ quản
trị hệ thống, kiểm tra, giám sát việc bảo trì, sửa chữa, thay thế các linh kiện, thiết bị, tổ chức nghiệm thu kết quả
sau khi bảo trì để đưa vào sử dụng.
Điều 3.
Nguyên tắc cơ bản trong bảo trì trang thiết bị tin học
1. Việc bảo trì có thể được thực
hiện tại chỗ hoặc từ xa.
2. Không làm gián đoạn hoạt động
bình thường của Ngân hàng.
3. Việc tổ chức thực hiện phải
khoa học và hợp lý theo kế hoạch được cấp thẩm quyền phê duyệt hoặc theo hợp đồng
đã ký kết. Việc bảo trì đối với từng loại trang thiết bị phải bảo đảm tuân thủ
các quy định, điều kiện, tiêu chuẩn kỹ thuật của nhà sản xuất hay nhà cung
cấp đưa ra.
4. Ngăn chặn hiệu quả nguy cơ hỏng
hóc của thiết bị, không được làm lây nhiễm Virus cho các thiết bị, các phần mềm
và cơ sở dữ liệu của Ngân hàng trong quá trình tiến hành bảo trì.
5. Bảo đảm an toàn hệ thống, bảo
vệ bí mật dữ liệu Ngân hàng, ngăn chặn việc lấy cắp hoặc khai thác dữ liệu trái
phép trong quá trình tiến hành bảo trì.
6. Các yêu cầu bảo trì, thời
gian, biện pháp triển khai thực hiện phải được cụ thể hóa bằng văn bản ngay từ
khi lắp đặt hệ thống trang thiết bị tin học và được bổ sung thường xuyên trong
quá trình khai thác sử dụng.
Điều 4. Thiết
bị phần cứng (sau đây gọi là phần cứng) bao gồm:
1. Các thiết bị hệ thống: Máy chủ
các loại, tủ đĩa lưu trữ (Storage), thư viện băng từ (Tape Library), hệ thống cấp
nguồn điện liên tục (UPS từ 5 KVA trở lên, máy phát điện).
2. Các thiết bị chuyên dụng: Máy
tính cá nhân (PC), máy tính xách tay (notebook), trạm đầu cuối (terminal), máy
in laser, máy in kim, máy quét, hệ thống cấp nguồn điện liên tục (UPS dưới 5
KVA, ổn áp), máy rút tiền tự động (ATM), máy đọc thẻ các loại.
Điều 5. Hệ
thống mạng bao gồm:
1. Thiết bị mạng và truyền
thông: Bộ định tuyến (Router, Switch), bộ điều giải (Modem), thiết bị tối ưu
hóa đường truyền, đường trục (cáp quang, đường thuê bao), các tổng đài điện thoại
IP (IP Call processing) và các trang thiết bị truyền thông khác.
2. Thiết bị an ninh bảo mật: Bức
tường lửa (Firewall), thiết bị cảnh báo chống thâm nhập, thiết bị mã hóa hoặc
giải mã dữ liệu (Encryptor/Descryptor), thiết bị nhận dạng và các trang thiết bị
khác làm chức năng bảo mật, an ninh.
3. Ổ cắm mạng (node mạng), cáp mạng
và các phụ kiện khác.
Điều 6. Phần
mềm tin học và cơ sở dữ liệu của Ngân hàng (sau đây gọi là phần mềm và cơ sở dữ
liệu) bao gồm:
1. Các phần mềm nghiệp vụ Ngân
hàng, các phần mềm phục vụ việc quản trị điều hành Ngân hàng, các trang WEB
chuyên dùng.
2. Phần mềm hệ thống, phần mềm
chống Virus, phần mềm “gián điệp”, phần mềm quản trị mạng tin học, mạng truyền
thông, phần mềm an ninh bảo mật, phần mềm trung gian (midleware, firmware).
3. Cơ sở dữ liệu bao gồm dữ liệu
và hệ quản trị cơ sở dữ liệu.
Điều 7. Điều
kiện để tổ chức, cá nhân tham gia bảo trì trang thiết bị tin học
1. Các cá nhân
tham gia hoạt động bảo trì bao gồm cán bộ quản lý, nhân viên bảo trì phải có đầy đủ phẩm chất đạo đức, năng lực, kiến
thức, trình độ chuyên môn về công nghệ thông tin; về lĩnh
vực được yêu cầu bảo trì.
2. Tổ chức làm dịch vụ bảo trì
là các công ty, đơn vị chuyên môn hoạt động trong lĩnh vực công nghệ thông tin,
viễn thông, có tư cách pháp nhân và hoạt động kinh doanh hợp pháp. Có đội ngũ
nhân viên bảo trì đủ trình độ và đủ số lượng cần thiết thực hiện công việc bảo
trì theo kế hoạch, nội dung bảo trì do Ngân hàng yêu cầu.
3. Tùy thuộc vào thực tế, Ngân
hàng có thể đưa ra các điều kiện bổ sung cho phù hợp với công việc bảo trì như
tiêu chuẩn về con người, phương tiện sửa chữa, yêu cầu về phần mềm chuyên dụng
dùng để kiểm tra phát hiện các sai hỏng và nghiệm thu kết quả sau khi bảo trì .
Chương II
QUI ĐỊNH CỤ THỂ
Điều 8. Nội
dung cơ bản của bảo trì trang thiết bị tin học
1. Nội dung cơ bản của bảo trì
phần cứng và hệ thống mạng:
a) Kiểm tra tình trạng hoạt động
của thiết bị; kiểm tra cấu hình thiết bị kiểm tra tốc độ đường truyền thông và
làm vệ sinh công nghiệp.
b) Phát hiện, kiến nghị và sửa
chữa, thay thế các thiết bị hư hỏng hoặc hết thời hạn sử dụng.
2. Nội dung cơ bản của bảo trì
phần mềm và cơ sở dữ liệu:
a) Nâng cấp phần mềm: bao gồm việc
khắc phục kịp thời những khiếm khuyết của chương trình (vá lỗi), đáp ứng yêu cầu
đổi mới của nghiệp vụ và thay thế thuật toán hoặc thay thế công nghệ đã lạc hậu.
b) Điều chỉnh phần mềm: bao gồm
việc thay đổi, bổ sung các cấu phần của phần mềm cho phù hợp hơn với yêu cầu của
người sử dụng và tình trạng của thiết bị.
c) Bảo trì phần mềm hệ thống (hệ
điều hành): kiểm tra tình trạng hoạt động của hệ thống (performance), các vùng
đĩa trống. Xóa các file dữ liệu trung gian, xóa các file nhật ký (log file) quá
thời hạn.
d) Kiểm tra, diệt Virus tin
học, mã độc hại, sâu tin học và bảo trì theo các tiêu chuẩn riêng của nhà cung
cấp.
Điều 9. Thời
gian thực hiện bảo trì trang thiết bị tin học
1. Hàng ngày, hàng tuần người sử
dụng thiết bị tin học phải có trách nhiệm bảo quản, lau chùi bên ngoài thiết bị,
không để bụi bẩn, thông báo kịp thời cho người có trách nhiệm khi phát hiện thấy
máy móc thiết bị, phần mềm hoặc cơ sở dữ liệu có dấu hiệu không bình thường.
2. Định kỳ, Ngân hàng phải thực hiện việc kiểm tra tình trạng kỹ
thuật của trang thiết bị để kịp thời phát hiện các hư hỏng có thể xảy ra; tối
ưu các thông số của các bảng dữ liệu, dọn dẹp dữ liệu cũ, các dữ liệu dư thừa.
3. Ít nhất trong 6 tháng Ngân
hàng phải tiến hành bảo trì một lần. Trang thiết bị đang trong thời gian được bảo
hành vẫn phải tiến hành bảo trì định kỳ.
Điều 10.
Qui trình thực hiện bảo trì trang thiết bị tin học
Qui trình bảo trì gồm các bước
cơ bản sau đây:
1. Giao ban kỹ thuật giữa các
bên liên quan về tình trạng hoạt động của máy móc, thiết bị, phần mềm và cơ sở
dữ liệu để lập kế hoạch thực hiện chi tiết.
2. Đối với các phần mềm, cơ sở dữ
liệu, máy móc, thiết bị có chứa mã khóa bảo mật (Password) nhân viên quản lý phải
thay thế bằng mã khóa bảo mật tạm thời; thực hiện việc lưu trữ cấu hình và các
dữ liệu quan trọng đề phòng việc mất dữ liệu trong khi bảo trì.
3. Nhân viên bảo trì thực hiện
công việc bảo trì. Trong thời gian làm công việc bảo trì nhân viên bảo trì phải
sử dụng các loại mã khóa bảo mật tạm thời.
4. Sau khi hoàn thành công việc
bảo trì, các bên liên quan phải tổ chức vận hành để nghiệm thu tình trạng hoạt
động từng loại thiết bị, từng phần mềm riêng lẻ và cả hệ thống; kiểm tra các
tiêu chuẩn về vệ sinh công nghiệp, kiểm tra lại việc ghi chép nhật ký bảo trì.
5. Nhân viên quản lý phải tổ chức
kiểm tra, giám sát công việc bảo trì, thực hiện hoàn trả các mã khoá bảo mật về
tình trạng ban đầu và bảo đảm các trang thiết bị ở trạng thái sẵn sàng đưa vào
sử dụng.
Điều 11. Tổ
chức thực hiện bảo trì trang thiết bị tin học
1. Nguyên tắc chung
Căn cứ vào mức độ quan trọng và
mức độ khó về kỹ thuật của mỗi hệ thống công nghệ thông tin; căn cứ vào mô hình
tổ chức và trình độ cán bộ kỹ thuật tại chỗ Ngân hàng có thể tự bảo trì, chọn dịch
vụ thuê ngoài và chọn các hình thức bảo trì định kỳ, bảo trì đột xuất, bảo trì
tại chỗ, bảo trì từ xa, trên cơ sở phải đảm bảo các nguyên tắc qui định tại điều
3 của Quy định này.
2. Phân cấp trong tổ chức thực
hiện
a) Đơn vị quản lý cấp 1: là các
đơn vị có chức năng quản lý về công nghệ thông tin của Ngân hàng Nhà nước hoặc
có chức năng chuyên trách về công nghệ thông tin tại Hội sở chính của các Ngân
hàng. Các đơn vị này có nhiệm vụ chính sau đây:
- Quản trị công tác bảo trì
trang thiết bị tin học của toàn hệ thống, phân công nhiệm vụ cụ thể cho các đơn
vị quản lý cấp dưới và tổ chức kiểm tra, giám sát chung toàn hệ thống.
- Tổ chức thực hiện công tác bảo
trì các hệ thống công nghệ thông tin lớn hoặc quan trọng, các phần mềm và cơ sở
dữ liệu thống nhất toàn hệ thống, hệ thống máy chủ các loại, hệ thống mạng WAN,
hệ thống sao lưu và hệ thống an ninh bảo mật; bảo trì các thiết bị tin học
chuyên dùng tại trụ sở làm việc.
- Lập dự toán kinh phí và thanh
quyết toán chi phí hàng năm theo chế độ.
b) Đơn vị quản lý cấp 2: là các
Chi nhánh ngân hàng hoặc tương đương chịu sự chỉ đạo của đơn vị cấp 1 về Công
nghệ thông tin. Các đơn vị này có nhiệm vụ chính sau đây:
- Tổ chức thực hiện công tác bảo
trì trang thiết bị tin học của các địa điểm được đơn vị quản lý cấp 1 phân công
và bảo trì các trang thiết bị tin học chuyên dùng tại trụ sở làm việc của mình.
- Lập dự toán kinh phí và thanh
quyết toán chi phí hàng năm cho các phần việc được giao theo chế độ.
Điều 12. An
toàn, bảo mật trong bảo trì thiết bị tin học
1. Tổ chức việc giám sát, nghiệm
thu kết quả theo kịch bản đã được phê duyệt. Không để những người không đủ năng
lực chuyên môn thực hiện bảo trì hoặc khi tiến hành bảo trì không có dụng cụ sửa
chữa cần thiết.
2. Đối với các phần mềm, cơ sở dữ
liệu, máy móc, thiết bị có chứa mã khóa bảo mật thì phải sử dụng các mã khóa bảo
mật tạm thời trong thời gian bảo trì và thay đổi ngay sau khi công việc bảo trì
hoàn thành.
3. Phải có phương án dự phòng về
máy móc, thiết bị, linh kiện, phụ tùng thay thế đảm bảo cho công tác bảo trì được
thuận lợi, nhanh chóng. Có biện pháp phòng tránh rủi ro trong khi thực hiện
công việc bảo trì.
4. Các linh kiện, phụ tùng phải
được kiểm tra về kỹ thuật trước khi tiến hành công việc nâng cấp, thay thế. Đối
với các thiết bị chứa dữ liệu mật còn có khả năng khai thác được thì phải thực
hiện lưu trữ và phải xóa toàn bộ dữ liệu này trước khi tiến hành sửa chữa, thay
thế. Các thay đổi về thiết kế, cấu hình của các thiết bị trong những lần sửa chữa,
thay thế hoặc nâng cấp phải được ghi nhật ký đầy đủ.
5. Bảo trì từ xa chỉ được thực
hiện khi hệ thống mạng của Ngân hàng đã được trang bị các công cụ bảo mật gồm
thiết bị mã hóa đường truyền, thiết bị bức tường lửa, thiết bị chống Virus máy
tính xâm nhập.
Chương III
QUẢN LÝ CÔNG VIỆC BẢO
TRÌ
Điều 13.
Trách nhiệm của Ngân hàng
1. Ngân hàng phải có kế hoạch bảo
trì bằng văn bản và có biện pháp tổ chức thực hiện. Hàng năm phải lập kế hoạch
kinh phí và chuẩn bị các nguồn lực khác cho công tác bảo trì.
2. Bố trí cán bộ có đủ năng lực
để làm nhiệm vụ quản lý, giám sát trong suốt thời gian thực hiện việc bảo trì
và nghiệm thu kết quả sau khi bảo trì xong.
3. Tạo điều kiện thuận lợi để
công tác bảo trì được triển khai đúng kế hoạch, nhanh chóng, hiệu quả và an
toàn.
Điều 14.
Trách nhiệm của tổ chức, cá nhân quản lý công việc bảo trì
1. Tổ chức thực hiện công tác bảo
trì tại Ngân hàng theo đúng kế hoạch và các qui định tại Chương II của Qui định
này.
2. Tổ chức kiểm tra, giám sát bảo
đảm công việc bảo trì và nghiệm thu kết quả sau khi bảo trì xong.
3. Quản lý sổ bảo trì, phiếu bảo
trì và lập báo cáo về công tác bảo trì.
Điều 15.
Trách nhiệm của tổ chức, cá nhân làm công việc bảo trì
1. Phải thực hiện bảo trì theo
đúng kịch bản đã được cấp có thẩm quyền phê duyệt. Mọi sự cố kỹ thuật có nguy
cơ ảnh hưởng đến hoạt động của Ngân hàng phải báo cáo ngay với người có thẩm
quyền để có biện pháp xử lý, khắc phục kịp thời.
2. Khi sự cố kỹ thuật được giải
quyết xong, phải thực hiện việc bàn giao các trang thiết bị hư hỏng, những
linh kiện phụ tùng đã thay thế và tình trạng kỹ thuật hiện tại của máy móc, thiết
bị cho người có trách nhiệm quản lý của Ngân hàng. Những sự cố làm hư hỏng máy
móc, thiết bị do chủ quan phải chịu trách nhiệm bồi thường. Sau khi hoàn thành
công việc phải thực hiện việc ghi nhật ký vào sổ bảo trì và phiếu bảo trì.
3. Chấp hành nghiêm chỉnh nội
quy ra vào cơ quan và các quy định về bảo mật, an toàn tài sản của Ngân hàng.
Chương IV
ĐIỀU KHOẢN THI HÀNH
Điều 16. Xử
lý vi phạm
Mọi hành vi vi phạm các điều khoản
tại Quy định này, tùy theo mức độ vi phạm mà bị xử lý hành chính, bồi thường
thiệt hại vật chất, truy cứu trách nhiệm hình sự theo quy định của pháp luật.
Điều 17.
Trách nhiệm thi hành
1. Cục trưởng Cục Công nghệ Tin
học Ngân hàng có trách nhiệm hướng dẫn và phối hợp với Chánh Thanh tra Ngân
hàng Nhà nước, Vụ trưởng Vụ Tổng Kiểm soát, Vụ trưởng Vụ Kế toán Tài chính kiểm
tra thực hiện Quy định này.
2. Thủ trưởng các đơn vị
thuộc Ngân hàng Nhà nước; Giám đốc Ngân hàng Nhà nước Chi nhánh tỉnh,
thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị, Tổng Giám
đốc (Giám đốc) các tổ chức tín dụng có trách nhiệm tổ chức triển
khai, kiểm tra việc chấp hành Quy định này tại đơn vị mình.