Công văn 3846/BHXH-CNTT 2023 quán triệt bảo đảm an toàn dữ liệu ngành BHXH

Ngày 07/11/2023, tại phiên chất vấn của Quốc hội, Bộ Công an đã đánh giá bảo vệ dữ liệu cá nhân là vấn đề rất quan trọng, đặc biệt là trong quá trình chuyển đổi số hiện nay. Trong năm 2023, Bộ Công an đã cảnh báo, xử lý hàng chục triệu vụ việc có liên quan đến xâm phạm dữ liệu cá nhân. Theo đó, Bộ Công an đang thực hiện một số giải pháp để nâng cao hiệu quả quản lý nhà nước về bảo vệ dữ liệu cá nhân, trọng tâm là tổ chức thực hiện có hiệu quả các quy định của Luật An ninh mạng, Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định số 13/2023/NĐ-CP).

Bảo hiểm xã hội (BHXH) Việt Nam trong những năm qua đã thường xuyên quan tâm triển khai công tác bảo đảm an toàn dữ liệu. Tuy nhiên, vẫn còn có đơn vị chưa quan tâm đúng mức, ý thức của một số công chức, viên chức, người lao động (CCVC) trong Ngành về bảo vệ dữ liệu nghiệp vụ chưa cao, vẫn xảy ra tình trạng lộ lọt tài khoản của người dùng dẫn đến nguy cơ dữ liệu nghiệp vụ của Ngành bị xâm phạm. Đặc biệt, đã có trường hợp từng là viên chức của cơ quan BHXH truy cập và chiếm đoạt trái phép thông tin cá nhân của người tham gia BHXH bị cơ quan chức năng xử lý hình sự và một số trường hợp khác đang được cơ quan Công an điều tra có dấu hiệu vi phạm pháp luật về bảo vệ thông tin cá nhân.

Trước tình hình trên, để thực hiện có hiệu quả các quy định của Luật An toàn thông tin mạng, Luật An ninh mạng, Nghị định số 13/2023/NĐ-CP và Công văn số 2916/BCA-A05 ngày 22/8/2023 của Bộ Công an về việc tăng cường công tác bảo vệ dữ liệu cá nhân, BHXH Việt Nam yêu cầu các đơn vị khấn trương triển khai một số nội dung sau đây:

I. Đối với các đơn vị

1. Tổ chức triển khai và thực hiện nghiêm các quy định về bảo vệ dữ liệu cá nhân, những hành vi bị nghiêm cấm tại Điều 7 Luật An toàn thông tin mạng, Điều 8 Luật An ninh mạng, Điều 9 Quy chế quản lý, khai thác và sử dụng thông tin từ cơ sở dữ liệu tập trung ngành BHXH (Quyết định số 2366/QĐ-BHXH ngày 28/11/2018); Điều 12 Quy chế bảo đảm an toàn thông tin trong ứng dụng công nghệ thông tin của ngành BHXH (Quyết định số 967/QĐ-BHXH ngày 20/06/2017), chú trọng tổ chức phổ biến, quán triệt tới toàn bộ CCVC về quyền và nghĩa vụ theo quy định của pháp luật.

2. Nghiên cứu quy định về khai thác và sử dụng thông tin từ cơ sở dữ liệu tập trung ngành BHXH, xử lý thông tin, dữ liệu cá nhân của người tham gia BHXH, BHYT (sau đây gọi tắt là dữ liệu cá nhân) trên phần mềm nghiệp vụ, từ đó xác định rõ quyền hạn, trách nhiệm của CCVC trong việc khai thác, xử lý dữ liệu cá nhân.

3. Phân công, giao nhiệm vụ bằng văn bản cho CCVC được khai thác, xử lý dữ liệu cá nhân. Xác minh, làm rõ các trường hợp để lộ lọt mật khẩu tài khoản, cho mượn tài khoản, sử dụng không đúng tài khoản để truy cập, khai thác dữ liệu cá nhân tại đơn vị và báo cáo về BHXH Việt Nam (qua Trung tâm CNTT).

4. Tuân thủ hướng dẫn tại Công văn số 1610/BHXH-CNTT ngày 17/06/2022 về việc tăng cường công tác quản lý, bảo đảm an toàn thông tin truy cập hệ thống thông tin của Ngành; Công văn số 2201/BHXH-CNTT ngày 19/07/2023 về việc triển khai xác thực OTP kiểm soát truy cập VPN. Rà soát việc quản lý sử dụng tài khoản VPN, xác định rõ nhu cầu, thời hạn sử dụng và sự phù hợp với công việc được phân công của CCVC; kịp thời thu hồi tài khoản không có nhu cầu, hết thời hạn sử dụng, nghỉ hưu, thôi việc, chuyển công tác...

5. Kiểm soát các kênh trao đổi của CCVC với các cá nhân, đơn vị bên ngoài Ngành, bảo đảm không rò rỉ, lộ lọt dữ liệu cá nhân trên không gian mạng; thực hiện đúng quy định của pháp luật và của Ngành khi cung cấp dữ liệu cá nhân cho các đơn vị ngoài Ngành.

6. Thường xuyên theo dõi cảnh báo của BHXH Việt Nam về lộ lọt mật khẩu tài khoản, lỗ hổng, điểm yếu an toàn thông tin trên nền tảng điều phối, ứng cứu xử lý sự cố để kịp thời xử lý.

II. Đối với cá nhân

1. Tuân thủ các quy định của pháp luật và của Ngành về bảo vệ dữ liệu cá nhân.

2. Chỉ được truy cập và khai thác các dữ liệu nghiệp vụ của Ngành theo đúng nhiệm vụ được phân công, phân quyền; tuyệt đối không sử dụng tài khoản của người khác hoặc cho người khác sử dụng tài khoản; có ý thức trách nhiệm bảo vệ tài khoản và thiết lập mật khẩu mạnh, an toàn.

3. Nghiêm cấm hành vi lợi dụng sơ hở, điểm yếu của hệ thống thông tin, phần mềm nghiệp vụ để thu thập, khai thác dữ liệu cá nhân; Sử dụng công cụ, phương tiện, phần mềm để khai thác trái phép, thu thập dữ liệu cá nhân từ hệ thống thông tin, phần mềm nghiệp vụ, cơ sở dữ liệu của Ngành.

4. Thực hiện các công việc được phân công và sử dụng tài khoản nghiệp vụ, tài khoản VPN được cấp trên đúng máy tính được giao, máy tính đã đăng ký sử dụng, hoàn toàn chịu trách nhiệm cá nhân khi để xảy ra việc truy cập, khai thác trái phép, làm lộ lọt dữ liệu của Ngành trên máy tính, tài khoản được giao quản lý, sử dụng.

III. Trung tâm Công nghệ thông tin

1. Là đơn vị chủ trì xây dựng các giải pháp kỹ thuật để thực hiện công tác bảo vệ dữ liệu cá nhân.

2. Thực hiện cảnh báo các trường hợp để lộ lọt mật khẩu tài khoản, cho mượn tài khoản, sử dụng không đúng tài khoản để truy cập; trường hợp sử dụng công cụ, phương tiện, phần mềm để khai thác trái phép lỗ hổng, điểm yếu an toàn thông tin của người dùng trên nền tảng điều phối, ứng cứu xử lý sự cố để các đơn vị xác minh, làm rõ.

3. Thực hiện các biện pháp ngăn chặn các hành vi có dấu hiệu vi phạm, khai thác dữ liệu cá nhân trái phép tại các đơn vị; tong hợp và báo cáo BHXH Việt Nam những tài khoản có dấu hiệu bất thường; thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân khi phát hiện xảy ra vi phạm về cơ quan Công an theo hướng dẫn tại Nghị định số 13/2023/NĐ-CP.

BHXH Việt Nam yêu cầu các đơn vị nghiêm túc thực hiện, phổ biến, quán triệt tới toàn thể CCVC trong đơn vị; nghiêm cấm mọi hành vi cung cấp dữ liệu cá nhân cho các tổ chức, cá nhân ngoài Ngành khi chưa có sự đồng ý của BHXH Việt Nam. Thủ trưởng các đơn vị trực thuộc BHXH Việt Nam, Giám đốc BHXH các tỉnh, thành phố chịu trách nhiệm trước Tổng Giám đốc và trước pháp luật nếu để lộ lọt dữ liệu cá nhân và xảy ra vi phạm trong phạm vi quản lý của đơn vị. Các vấn đề vướng mắc trong quá trình triển khai, báo cáo BHXH Việt Nam (qua Trung làm CNTT) để được hướng dẫn, hỗ trợ.