Quyết định 29/2008/QĐ-NHNN của Ngân hàng Nhà nước ban hành Quy định về bảo trì hệ thống trang thiết bị tin học trong ngành Ngân hàng

QUYẾT ĐỊNH

CỦA NGÂN HÀNG NHÀ NƯỚC SỐ 29/2008/QĐ-NHNN

NGÀY 13 THÁNG 10 NĂM 2008

BAN HÀNH QUY ĐỊNH VỀ BẢO TRÌ HỆ THỐNG TRANG THIẾT BỊ TIN HỌC TRONG NGÀNH NGÂN HÀNG

 

THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC

 

Căn cứ Luật Ngân hàng Nhà nước Việt Nam năm 1997 và Luật sửa đổi, bổ sung một số điều của Luật Ngân hàng Nhà nước Việt Nam năm 2003;

Căn cứ Luật các Tổ chức tín dụng năm 1997 và Luật sửa đổi, bổ sung một số điều của Luật các Tổ chức tín dụng năm 2004;

Căn cứ Nghị định số 96/2008/NĐ-CP ngày 26/08/2008 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ Tin học Ngân hàng,

 

 

QUYẾT ĐỊNH:

 

 

Điều 1. Ban hành kèm theo Quyết định này Quy định về bảo trì hệ thống trang thiết bị tin học trong ngành Ngân hàng.

Điều 2. Quyết định này có hiệu lực thi hành sau 15 ngày kể từ ngày đăng Công báo.

Điều 3. Chánh Văn phòng, Cục trưởng Cục Công nghệ Tin học Ngân hàng; Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước; Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị, Tổng Giám đốc (Giám đốc) các Tổ chức tín dụng chịu trách nhiệm thi hành Quyết định này.

 

 

KT.THỐNG ĐỐC

PHÓ THỐNG ĐỐC

Nguyễn Toàn Thắng

 

 

QUY ĐỊNH

Về bảo trì hệ thống trang thiết bị tin học trong ngành Ngân hàng

(Ban hành kèm theo Quyết định số   29./2008/QĐ-NHNN

ngày 13/10/2008 của Thống đốc Ngân hàng Nhà nước)

 

Chương I

QUY ĐỊNH CHUNG

 

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Qui định này qui định các tiêu chuẩn kỹ thuật, trình tự, thủ tục và các biện pháp bảo đảm an toàn, bảo mật trong bảo trì hệ thống trang thiết bị tin học trong ngành Ngân hàng.

2. Qui định này áp dụng đối với hệ thống Ngân hàng Nhà nước và các loại hình Tổ chức tín dụng ứng dụng công nghệ thông tin trong hoạt động ngân hàng (sau đây gọi chung là Ngân hàng).

Điều 2. Giải thích từ ngữ

1. Hệ thống trang thiết bị tin học Ngân hàng trong Quy định này bao gồm các trang thiết bị phần cứng, hệ thống mạng, các phần mềm tin học và cơ sở dữ liệu phục vụ cho một hoặc nhiều hoạt động kỹ thuật nghiệp vụ của Ngân hàng.

2. Bảo trì là công việc duy tu, bảo dưỡng hệ thống trang thiết bị  trong suốt quá trình sử dụng, khai thác nhằm duy trì khả năng làm việc, tăng tuổi thọ, sớm phát hiện và ngăn chặn nguy cơ hỏng hóc, mất an toàn của từng thiết bị riêng lẻ, nhóm thiết bị hoặc cả hệ thống trang thiết bị.

3. Bảo trì từ xa là phương thức thực hiện công việc bảo trì  thiết bị tin học và phần mềm từ xa thông qua mạng máy tính của Ngân hàng.

4. Bảo trì đột xuất là công việc khắc phục hoặc ngăn chặn kịp thời các sự cố kỹ thuật gây ảnh hưởng đến hoạt động của Ngân hàng.

5. Bảo trì định kỳ là công việc nhằm mục đích giúp hệ thống hoạt động liên tục trong điều kiện tốt, thực hiện theo kế hoạch được lập trước.

6. Tự bảo trì là công việc bảo trì do cán bộ kỹ thuật của Ngân hàng tự thực hiện.

7. Bảo hành là việc khắc phục những lỗi hỏng hóc, sự cố kỹ thuật xảy ra do lỗi của nhà sản xuất trong thời hạn bảo hành thiết bị hoặc phần mềm.

8. Kịch bản là tập hợp những yêu cầu, thủ tục, tình huống, dữ liệu và kết quả thực hiện được xác định trước, sử dụng cho quá trình kiểm tra, cài đặt, bảo hành, bảo trì các trang thiết bị, phần mềm, cơ sở dữ liệu công nghệ thông tin.

9. Dịch vụ thuê ngoài là việc bảo trì thông qua hợp đồng ký kết với các tổ chức làm dịch vụ bảo trì.

10. Sổ bảo trì là quyển sổ do Ngân hàng lập ra để ghi lại nhật ký mỗi lần bảo trì. Sau mỗi lần bảo trì các thông tin cơ bản cần ghi chép là: thời gian, địa điểm thực hiện, người thực hiện, những công việc đã thực hiện và thực hiện chưa xong, đề xuất kiến nghị (nếu có).

11. Phiếu bảo trì là dạng tờ rời dùng để theo dõi quá trình sửa chữa, thay thế, thay đổi, lắp đặt thêm cho thiết bị phần cứng, thiết bị mạng và được duy trì từ khi lắp đặt cho đến khi không sử dụng nữa. Trên phiếu có các thông tin cơ bản về: thời gian, người thực hiện và các thông tin liên quan đến việc thay đổi, lắp đặt thêm của thiết bị.

12. Cán bộ quản lý là người được giao nhiệm vụ quản trị hệ thống,  kiểm tra, giám sát việc bảo trì, sửa chữa, thay thế các linh kiện, thiết bị, tổ chức nghiệm thu kết quả sau khi bảo trì để đưa vào sử dụng.

Điều 3. Nguyên tắc cơ bản trong bảo trì trang thiết bị tin học

1. Việc bảo trì có thể được thực hiện tại chỗ hoặc từ xa.

2. Không làm gián đoạn hoạt động bình thường của Ngân hàng.

3. Việc tổ chức thực hiện phải khoa học và hợp lý theo kế hoạch được cấp thẩm quyền phê duyệt hoặc theo hợp đồng đã ký kết. Việc bảo trì đối với từng loại trang thiết bị phải bảo đảm tuân thủ các quy định, điều kiện, tiêu chuẩn kỹ thuật của nhà sản xuất hay nhà cung cấp đưa ra.

4. Ngăn chặn hiệu quả nguy cơ hỏng hóc của thiết bị, không được làm lây nhiễm Virus cho các thiết bị, các phần mềm và cơ sở dữ liệu của Ngân hàng trong quá trình tiến hành bảo trì.

5. Bảo đảm an toàn hệ thống, bảo vệ bí mật dữ liệu Ngân hàng, ngăn chặn việc lấy cắp hoặc khai thác dữ liệu trái phép trong quá trình tiến hành bảo trì.

6. Các yêu cầu bảo trì, thời gian, biện pháp triển khai thực hiện phải được cụ thể hóa bằng văn bản ngay từ khi lắp đặt hệ thống trang thiết bị tin học và được bổ sung thường xuyên trong quá trình khai thác sử dụng.

Điều 4. Thiết bị phần cứng (sau đây gọi là phần cứng) bao gồm:

1. Các thiết bị hệ thống: Máy chủ các loại, tủ đĩa lưu trữ (Storage), thư viện băng từ (Tape Library), hệ thống cấp nguồn điện liên tục (UPS từ 5 KVA trở lên, máy phát điện).

2. Các thiết bị chuyên dụng: Máy tính cá nhân (PC), máy tính xách tay (notebook), trạm đầu cuối (terminal), máy in laser, máy in kim, máy quét, hệ thống cấp nguồn điện liên tục (UPS  dưới 5 KVA, ổn áp), máy rút tiền tự động (ATM), máy đọc thẻ các loại. 

Điều 5. Hệ thống mạng bao gồm:

1. Thiết bị mạng và truyền thông: Bộ định tuyến (Router, Switch), bộ điều giải (Modem), thiết bị tối ưu hóa đường truyền, đường trục (cáp quang, đường thuê bao), các tổng đài điện thoại IP (IP Call processing) và các trang thiết bị truyền thông khác.

2. Thiết bị an ninh bảo mật: Bức tường lửa (Firewall), thiết bị cảnh báo chống thâm nhập, thiết bị mã hóa hoặc giải mã dữ liệu (Encryptor/Descryptor), thiết bị nhận dạng và các trang thiết bị khác làm chức năng bảo mật, an ninh.

3. Ổ cắm mạng (node mạng), cáp mạng và các phụ kiện khác.

Điều 6. Phần mềm tin học và cơ sở dữ liệu của Ngân hàng (sau đây gọi là phần  mềm và cơ sở dữ liệu) bao gồm:                                                                                                                               

1. Các phần mềm nghiệp vụ Ngân hàng, các phần mềm phục vụ việc quản trị điều hành Ngân hàng, các trang WEB chuyên dùng.

2. Phần mềm hệ thống, phần mềm chống Virus, phần mềm “gián điệp”, phần mềm quản trị mạng tin học, mạng truyền thông, phần mềm an ninh bảo mật, phần mềm trung gian (midleware, firmware).

3. Cơ sở dữ liệu bao gồm dữ liệu và hệ quản trị cơ sở dữ liệu.

Điều 7. Điều kiện để tổ chức, cá nhân tham gia bảo trì trang thiết bị tin học

1. Các cá nhân tham gia hoạt động bảo trì bao gồm cán bộ quản lý, nhân viên bảo trì phải có đầy đủ phẩm chất đạo đức, năng lực, kiến thức, trình độ chuyên môn về công nghệ thông tin; về lĩnh vực được yêu cầu bảo trì.

2. Tổ chức làm dịch vụ bảo trì là các công ty, đơn vị chuyên môn hoạt động trong lĩnh vực công nghệ thông tin, viễn thông, có tư cách pháp nhân và hoạt động kinh doanh hợp pháp. Có đội ngũ nhân viên bảo trì đủ trình độ và đủ số lượng cần thiết thực hiện công việc bảo trì theo kế hoạch, nội dung bảo trì do Ngân hàng yêu cầu.

3. Tùy thuộc vào thực tế, Ngân hàng có thể đưa ra các điều kiện bổ sung cho phù hợp với công việc bảo trì như tiêu chuẩn về con người, phương tiện sửa chữa, yêu cầu về phần mềm chuyên dụng dùng để kiểm tra phát hiện các sai hỏng và nghiệm thu kết quả sau khi bảo trì .

 

Chương II

QUI ĐỊNH CỤ THỂ

 

Điều 8. Nội dung cơ bản của bảo trì trang thiết bị tin học

1. Nội dung cơ bản của bảo trì phần cứng và hệ thống mạng:

a) Kiểm tra tình trạng hoạt động của thiết bị; kiểm tra cấu hình thiết bị kiểm tra tốc độ đường truyền thông và  làm vệ sinh công nghiệp.

b) Phát hiện, kiến nghị và sửa chữa, thay thế các thiết bị hư hỏng hoặc hết thời hạn sử dụng.

2. Nội dung cơ bản của bảo trì phần mềm và cơ sở dữ liệu:

a) Nâng cấp phần mềm: bao gồm việc khắc phục kịp thời những khiếm khuyết của chương trình (vá lỗi), đáp ứng yêu cầu đổi mới của nghiệp vụ và thay thế thuật toán hoặc thay thế công nghệ đã lạc hậu.

b) Điều chỉnh phần mềm: bao gồm việc thay đổi, bổ sung các cấu phần của phần mềm cho phù hợp hơn với yêu cầu của người sử dụng và tình trạng của thiết bị.

c) Bảo trì phần mềm hệ thống (hệ điều hành): kiểm tra tình trạng hoạt động của hệ thống (performance), các vùng đĩa trống. Xóa các file dữ liệu trung gian, xóa các file nhật ký (log file) quá thời hạn.

d) Kiểm tra, diệt Virus tin học, mã độc hại, sâu tin học và bảo trì theo các tiêu chuẩn riêng của nhà cung cấp.

Điều 9. Thời gian thực hiện bảo trì trang thiết bị tin học

1. Hàng ngày, hàng tuần người sử dụng thiết bị tin học phải có trách nhiệm bảo quản, lau chùi bên ngoài thiết bị, không để bụi bẩn, thông báo kịp thời cho người có trách nhiệm khi phát hiện thấy máy móc thiết bị, phần mềm hoặc cơ sở dữ liệu có dấu hiệu không bình thường.  

2. Định kỳ, Ngân hàng phải thực hiện việc kiểm tra tình trạng kỹ thuật của trang thiết bị để kịp thời phát hiện các hư hỏng có thể xảy ra; tối ưu các thông số của các bảng dữ liệu, dọn dẹp dữ liệu cũ, các dữ liệu dư thừa.

3. Ít nhất trong 6 tháng Ngân hàng phải tiến hành bảo trì một lần. Trang thiết bị đang trong thời gian được bảo hành vẫn phải tiến hành bảo trì định kỳ.

Điều 10. Qui trình thực hiện bảo trì trang thiết bị tin học

Qui trình bảo trì gồm các bước cơ bản sau đây:

1. Giao ban kỹ thuật giữa các bên liên quan về tình trạng hoạt động của  máy móc, thiết bị, phần mềm và cơ sở dữ liệu để lập kế hoạch thực hiện chi tiết.

2. Đối với các phần mềm, cơ sở dữ liệu, máy móc, thiết bị có chứa mã khóa bảo mật (Password) nhân viên quản lý phải thay thế bằng mã khóa bảo mật tạm thời; thực hiện việc lưu trữ cấu hình và các dữ liệu quan trọng đề phòng việc mất dữ liệu trong khi bảo trì.

3. Nhân viên bảo trì thực hiện công việc bảo trì. Trong thời gian làm công việc bảo trì nhân viên bảo trì phải sử dụng các loại mã khóa bảo mật tạm thời.

4. Sau khi hoàn thành công việc bảo trì, các bên liên quan phải tổ chức vận hành để nghiệm thu tình trạng hoạt động từng loại thiết bị, từng phần mềm riêng lẻ  và cả hệ thống; kiểm tra các tiêu chuẩn về vệ sinh công nghiệp, kiểm tra lại việc ghi chép nhật ký bảo trì.

5. Nhân viên quản lý phải tổ chức kiểm tra, giám sát công việc bảo trì, thực hiện hoàn trả các mã khoá bảo mật về tình trạng ban đầu và bảo đảm các trang thiết bị ở trạng thái sẵn sàng đưa vào sử dụng.

Điều 11. Tổ chức thực hiện bảo trì trang thiết bị tin học

1. Nguyên tắc chung

Căn cứ vào mức độ quan trọng và mức độ khó về kỹ thuật của mỗi hệ thống công nghệ thông tin; căn cứ vào mô hình tổ chức và trình độ cán bộ  kỹ thuật tại chỗ Ngân hàng có thể tự bảo trì, chọn dịch vụ thuê ngoài và chọn các hình thức bảo trì định kỳ, bảo trì đột xuất, bảo trì tại chỗ, bảo trì từ xa, trên cơ sở phải đảm bảo các nguyên tắc qui định tại điều 3 của Quy định này.

2. Phân cấp trong tổ chức thực hiện

a) Đơn vị quản lý cấp 1:  là  các đơn vị có chức năng quản lý về công nghệ thông tin của Ngân hàng Nhà nước hoặc có chức năng chuyên trách về công nghệ thông tin tại Hội sở chính của các Ngân hàng. Các đơn vị này có nhiệm vụ chính sau đây:

- Quản trị công tác bảo trì trang thiết bị tin học của toàn hệ thống, phân công nhiệm vụ cụ thể cho các đơn vị quản lý cấp dưới và tổ chức kiểm tra,  giám sát chung toàn hệ thống.

- Tổ chức thực hiện công tác bảo trì các hệ thống công nghệ thông tin lớn hoặc  quan trọng, các phần mềm và cơ sở dữ liệu thống nhất toàn hệ thống, hệ thống máy chủ các loại, hệ thống mạng WAN, hệ thống sao lưu và hệ thống an ninh bảo mật; bảo trì các thiết bị tin học chuyên dùng tại trụ sở làm việc.

- Lập dự toán kinh phí và thanh quyết toán chi phí hàng năm theo chế độ.

b) Đơn vị quản lý cấp 2: là các Chi nhánh ngân hàng hoặc tương đương chịu sự chỉ đạo của đơn vị cấp 1 về Công nghệ thông tin. Các đơn vị này có nhiệm vụ chính sau đây:

- Tổ chức thực hiện công tác bảo trì trang thiết bị tin học của các địa điểm được đơn vị quản lý cấp 1 phân công và bảo trì các trang thiết bị tin học chuyên dùng tại trụ sở làm việc của mình.

- Lập dự toán kinh phí và thanh quyết toán chi phí hàng năm cho các phần việc được giao theo chế độ.

 Điều 12. An toàn, bảo mật trong bảo trì thiết bị tin học

1. Tổ chức việc giám sát, nghiệm thu kết quả theo kịch bản đã được phê duyệt. Không để những người không đủ năng lực chuyên môn thực hiện bảo trì hoặc khi tiến hành bảo trì không có dụng cụ sửa chữa cần thiết.

2. Đối với các phần mềm, cơ sở dữ liệu, máy móc, thiết bị có chứa mã khóa bảo mật thì phải sử dụng các mã khóa bảo mật tạm thời trong thời gian  bảo trì và thay đổi ngay sau khi công việc bảo trì hoàn thành.

3. Phải có phương án dự phòng về máy móc, thiết bị, linh kiện, phụ tùng thay thế đảm bảo cho công tác bảo trì được thuận lợi, nhanh chóng. Có biện pháp phòng tránh rủi ro trong khi thực hiện công việc bảo trì.

4. Các linh kiện, phụ tùng phải được kiểm tra về kỹ thuật trước khi tiến hành công việc nâng cấp, thay thế. Đối với các thiết bị chứa dữ liệu mật còn có khả năng khai thác được thì phải thực hiện lưu trữ và phải xóa toàn bộ dữ liệu này trước khi tiến hành sửa chữa, thay thế. Các thay đổi về thiết kế, cấu hình của các thiết bị trong những lần sửa chữa, thay thế hoặc nâng cấp phải được ghi nhật ký đầy đủ.

5. Bảo trì từ xa chỉ được thực hiện khi hệ thống mạng của Ngân hàng đã được trang bị các công cụ bảo mật gồm thiết bị mã hóa đường truyền, thiết bị bức tường lửa, thiết bị chống Virus máy tính xâm nhập.

 

Chương III

QUẢN LÝ CÔNG VIỆC BẢO TRÌ

 

 Điều 13. Trách nhiệm của Ngân hàng

1. Ngân hàng phải có kế hoạch bảo trì bằng văn bản và có biện pháp tổ chức thực hiện. Hàng năm phải lập kế hoạch kinh phí và chuẩn bị các nguồn lực khác cho công tác bảo trì.

2. Bố trí cán bộ có đủ năng lực để làm nhiệm vụ quản lý, giám sát trong suốt thời gian thực hiện việc bảo trì và nghiệm thu kết quả sau khi bảo trì xong.

3. Tạo điều kiện thuận lợi để công tác bảo trì được triển khai đúng kế hoạch, nhanh chóng, hiệu quả và an toàn.

Điều 14. Trách nhiệm của tổ chức, cá nhân quản lý công việc bảo trì

1. Tổ chức thực hiện công tác bảo trì tại Ngân hàng theo đúng kế hoạch và các qui định tại Chương II của Qui định này.

2. Tổ chức kiểm tra, giám sát  bảo đảm công việc bảo trì và nghiệm thu kết quả sau khi bảo trì xong.

3. Quản lý sổ bảo trì, phiếu bảo trì và lập báo cáo về công tác bảo trì.

Điều 15. Trách nhiệm của tổ chức, cá nhân làm công việc bảo trì

1. Phải thực hiện bảo trì theo đúng kịch bản đã được cấp có thẩm quyền phê duyệt. Mọi sự cố kỹ thuật có nguy cơ ảnh hưởng đến hoạt động của Ngân hàng phải báo cáo ngay với người có thẩm quyền để có biện pháp xử lý, khắc phục kịp thời.

2. Khi sự cố kỹ thuật được giải quyết xong, phải thực hiện việc bàn giao các trang thiết bị hư hỏng, những linh kiện phụ tùng đã thay thế và tình trạng kỹ thuật hiện tại của máy móc, thiết bị cho người có trách nhiệm quản lý của Ngân hàng. Những sự cố làm hư hỏng máy móc, thiết bị do chủ quan phải chịu trách nhiệm bồi thường. Sau khi hoàn thành công việc phải thực hiện việc ghi nhật ký vào sổ bảo trì và phiếu bảo trì.

3. Chấp hành nghiêm chỉnh nội quy ra vào cơ quan và các quy định về bảo mật, an toàn tài sản của Ngân hàng.

 

Chương  IV

ĐIỀU KHOẢN THI HÀNH

 

Điều 16. Xử lý vi phạm

Mọi hành vi vi phạm các điều khoản tại Quy định này, tùy theo mức độ vi phạm mà bị xử lý hành chính, bồi thường thiệt hại vật chất, truy cứu trách nhiệm hình sự theo quy định của pháp luật.

Điều 17. Trách nhiệm thi hành

1. Cục trưởng Cục Công nghệ Tin học Ngân hàng có trách nhiệm hướng dẫn và phối hợp với Chánh Thanh tra Ngân hàng Nhà nước, Vụ trưởng Vụ Tổng Kiểm soát, Vụ trưởng Vụ Kế toán Tài chính kiểm tra thực hiện Quy định này.

2. Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước; Giám đốc Ngân hàng Nhà nước Chi nhánh tỉnh, thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị, Tổng Giám đốc (Giám đốc) các tổ chức tín dụng có trách nhiệm tổ chức triển khai, kiểm tra việc chấp hành Quy định này tại đơn vị mình./.