Quy chế QC-CNTT-2025-001 về việc ban hành Quy chế Quản lý hoạt động Công nghệ thông tin của Ngân hàng Thương mại Cổ phần ABC Việt Nam

Điều 1. Ban hành kèm theo Quyết định này Quy chế Quản lý hoạt động Công nghệ thông tin của Ngân hàng Thương mại Cổ phần ABC Việt Nam.

Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày 01 tháng 7 năm 2025 và thay thế toàn bộ các quy chế, quy định trước đây của Ngân hàng Thương mại Cổ phần ABC Việt Nam liên quan đến quản lý tổng thể hoạt động công nghệ thông tin.

Điều 3. Tổng Giám đốc, các Phó Tổng Giám đốc, Giám đốc các Khối/Ban tại Hội sở, Giám đốc Chi nhánh, Trưởng các Phòng giao dịch và toàn thể cán bộ, nhân viên thuộc Ngân hàng Thương mại Cổ phần ABC Việt Nam chịu trách nhiệm thi hành Quyết định này./.

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

1. Quy chế này quy định các nguyên tắc, yêu cầu và khung pháp lý nội bộ về việc tổ chức, quản lý và vận hành hoạt động công nghệ thông tin tại Ngân hàng Thương mại Cổ phần ABC Việt Nam.

2. Phạm vi quản lý bao gồm nhưng không giới hạn ở: quản lý hạ tầng và hệ thống công nghệ thông tin, bảo đảm an toàn thông tin, quản lý phát triển phần mềm và trách nhiệm của các đơn vị, cá nhân có liên quan.

Điều 2. Đối tượng áp dụng

1. Quy chế này áp dụng đối với tất cả các Khối, Ban, Trung tâm, Phòng, Ban nghiệp vụ tại Trụ sở chính, các Chi nhánh, Phòng giao dịch và các đơn vị trực thuộc khác của Ngân hàng Thương mại Cổ phần ABC Việt Nam.

2. Toàn thể cán bộ, nhân viên, người lao động đang làm việc tại Ngân hàng Thương mại Cổ phần ABC Việt Nam và các đối tác, nhà cung cấp dịch vụ có truy cập, sử dụng hệ thống công nghệ thông tin của Ngân hàng phải tuân thủ Quy chế này.

Điều 3. Tài liệu tham khảo

1. Luật Các tổ chức tín dụng số 32/2024/QH15 ngày 18 tháng 01 năm 2024.

2. Luật Công nghệ thông tin số 67/2006/QH11 ngày 29 tháng 6 năm 2006.

3. Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015.

4. Luật An ninh mạng số 24/2018/QH14 ngày 12 tháng 6 năm 2018.

5. Điều lệ Ngân hàng Thương mại Cổ phần ABC Việt Nam.

6. Quy chế tổ chức và hoạt động của Hội đồng Quản trị Ngân hàng Thương mại Cổ phần ABC Việt Nam.

7. Quy chế về hệ thống kiểm soát nội bộ của Ngân hàng Thương mại Cổ phần ABC Việt Nam.

Điều 4. Giải thích từ ngữ và viết tắt

1. Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

a) Công nghệ thông tin: Là tập hợp các phương pháp khoa học, công nghệ và công cụ kỹ thuật hiện đại để sản xuất, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin số.

b) Hạ tầng công nghệ thông tin: Là tập hợp trang thiết bị tính toán, thiết bị mạng, thiết bị an ninh, thiết bị lưu trữ, cơ sở dữ liệu, đường truyền kết nối và các thiết bị phụ trợ khác phục vụ cho hoạt động của hệ thống thông tin.

c) An toàn thông tin mạng: Là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

d) Phần mềm ứng dụng: Là chương trình máy tính được thiết kế để thực hiện một hoặc một số công việc, nghiệp vụ cụ thể phục vụ cho hoạt động của Ngân hàng.

đ) Trung tâm dữ liệu: Là công trình xây dựng bao gồm hạ tầng kỹ thuật và hệ thống máy tính, thiết bị lưu trữ, thiết bị mạng, thiết bị an ninh để lưu trữ, xử lý và phân phối dữ liệu.

e) Sự cố công nghệ thông tin: Là sự kiện gây mất an toàn thông tin mạng hoặc làm gián đoạn, suy giảm chất lượng hoạt động của hệ thống thông tin.

g) Rủi ro công nghệ thông tin: Là khả năng xảy ra tổn thất khi thực hiện các hoạt động liên quan đến hệ thống thông tin, bao gồm rủi ro do hệ thống lỗi, con người, quy trình hoặc các yếu tố bên ngoài tác động.

h) Tài sản thông tin: Bao gồm dữ liệu, thông tin, phần mềm, phần cứng, hệ thống mạng và các tài liệu liên quan có giá trị đối với hoạt động của Ngân hàng.

2. Bảng chữ viết tắt sử dụng trong Quy chế này:

a) Ngân hàng: Ngân hàng Thương mại Cổ phần ABC Việt Nam.

b) CNTT: Công nghệ thông tin.

c) ATTT: An toàn thông tin.

d) HĐQT: Hội đồng Quản trị.

đ) TGĐ: Tổng Giám đốc.

e) TTDL: Trung tâm dữ liệu.

g) KQLRR: Khối Quản lý Rủi ro.

h) BPCT: Ban Pháp chế và Tuân thủ.

i) CBS-T24: Hệ thống ngân hàng lõi T24.

Điều 5. Nguyên tắc chung

1. Hoạt động CNTT phải tuân thủ nghiêm ngặt các quy định của pháp luật, định hướng chiến lược kinh doanh của Ngân hàng và các tiêu chuẩn kỹ thuật quốc tế được Ngân hàng áp dụng.

2. Việc đầu tư, phát triển và vận hành hệ thống CNTT phải bảo đảm tính hiệu quả, tiết kiệm, đồng bộ, có khả năng mở rộng và đáp ứng kịp thời yêu cầu nghiệp vụ.

3. Bảo đảm ATTT là trách nhiệm của mọi tổ chức, cá nhân trong Ngân hàng; tuân thủ nguyên tắc phân quyền tối thiểu, chỉ cấp quyền truy cập "cần biết" và "cần làm" để thực hiện nhiệm vụ.

4. Mọi sự cố CNTT phải được phát hiện, báo cáo, xử lý kịp thời và ghi nhận đầy đủ để phân tích nguyên nhân, ngăn ngừa tái diễn.

Chương II

TỔ CHỨC QUẢN LÝ HOẠT ĐỘNG CÔNG NGHỆ THÔNG TIN

Điều 6. Mô hình tổ chức quản lý

1. Hoạt động CNTT của Ngân hàng được tổ chức theo mô hình quản lý tập trung tại Trụ sở chính. Các Chi nhánh, Phòng giao dịch không tự ý thiết lập hệ thống máy chủ, phần mềm nghiệp vụ độc lập nếu không có sự phê duyệt của TGĐ.

2. HĐQT phê duyệt chiến lược phát triển CNTT dài hạn (từ 03 đến 05 năm) và ngân sách đầu tư CNTT hàng năm.

3. TGĐ chịu trách nhiệm điều hành toàn diện hoạt động CNTT, ban hành các quy định, quy trình chi tiết để cụ thể hóa Quy chế này.

Điều 7. Lập kế hoạch và ngân sách

1. Căn cứ chiến lược kinh doanh, Khối CNTT có trách nhiệm chủ trì, phối hợp với các đơn vị nghiệp vụ xây dựng kế hoạch hoạt động và ngân sách CNTT hàng năm trình TGĐ xem xét, báo cáo HĐQT phê duyệt trước ngày 30 tháng 11 của năm liền trước.

2. Việc sử dụng ngân sách CNTT phải tuân thủ quy định về quản lý tài chính, mua sắm tài sản của Ngân hàng, bảo đảm minh bạch và hiệu quả đầu tư.

Điều 8. Quản lý dự án công nghệ thông tin

1. Các dự án đầu tư CNTT được phân loại theo quy mô vốn: Dự án nhóm A (tổng mức đầu tư trên 50 tỷ VNĐ) do HĐQT phê duyệt; Dự án nhóm B (tổng mức đầu tư từ 10 tỷ VNĐ đến 50 tỷ VNĐ) và Dự án nhóm C (dưới 10 tỷ VNĐ) thực hiện theo phân cấp ủy quyền của HĐQT cho TGĐ.

2. Mọi dự án CNTT phải có Ban Quản lý dự án, lập hồ sơ dự án chi tiết bao gồm đánh giá tính khả thi, phân tích rủi ro, phương án bảo đảm ATTT và kế hoạch triển khai cụ thể.

Điều 9. Quản lý rủi ro công nghệ thông tin

1. Rủi ro CNTT phải được nhận diện, đánh giá, đo lường và kiểm soát liên tục trong toàn bộ vòng đời của hệ thống thông tin.

2. Khối CNTT phối hợp với KQLRR thực hiện đánh giá rủi ro CNTT định kỳ tối thiểu 06 tháng/lần đối với các hệ thống quan trọng (như CBS-T24) và 12 tháng/lần đối với các hệ thống khác.

3. KQLRR có trách nhiệm tổng hợp, báo cáo tình hình rủi ro CNTT lên TGĐ và HĐQT định kỳ hàng quý.

Chương III

QUẢN LÝ HẠ TẦNG VÀ HỆ THỐNG CÔNG NGHỆ THÔNG TIN

Điều 10. Quản lý Trung tâm dữ liệu

1. Ngân hàng phải duy trì tối thiểu 01 TTDL chính và 01 TTDL dự phòng thảm họa. Khoảng cách địa lý giữa TTDL chính và TTDL dự phòng phải bảo đảm tối thiểu 30 km để phòng tránh rủi ro diện rộng.

2. TTDL phải được trang bị hệ thống kiểm soát vào ra sinh trắc học, hệ thống camera giám sát 24/7, hệ thống phòng cháy chữa cháy tự động và nguồn điện dự phòng bảo đảm hoạt động liên tục tối thiểu 72 giờ khi mất điện lưới.

3. TTDL phải được thiết kế và vận hành để bảo đảm tỷ lệ thời gian hoạt động liên tục (Uptime) đạt tối thiểu 99,99% trong một năm đối với các hệ thống lõi.

Điều 11. Quản lý mạng và truyền thông

1. Hệ thống mạng của Ngân hàng phải được phân vùng độc lập theo mức độ tin cậy và chức năng, bao gồm tối thiểu: Vùng mạng nội bộ (LAN), Vùng phi quân sự (DMZ), Vùng máy chủ nghiệp vụ (Server Farm) và Vùng quản trị.

2. Đường truyền kết nối giữa Trụ sở chính và các Chi nhánh, Phòng giao dịch phải có tối thiểu 02 đường truyền vật lý độc lập từ 02 nhà cung cấp dịch vụ viễn thông khác nhau.

3. Khối CNTT phải thực hiện giám sát băng thông, hiệu suất mạng liên tục và kiểm tra định kỳ hàng tháng để có phương án nâng cấp kịp thời.

Điều 12. Quản lý máy chủ và lưu trữ

1. Tất cả máy chủ phải được cài đặt hệ điều hành có bản quyền, cập nhật bản vá bảo mật định kỳ và cấu hình theo tiêu chuẩn an toàn do Ngân hàng ban hành.

2. Dữ liệu nghiệp vụ phát sinh phải được sao lưu (backup) tự động hàng ngày. Bản sao lưu phải được mã hóa và lưu trữ tại một địa điểm vật lý khác (offsite) với thời gian lưu trữ tối thiểu 03 tháng đối với dữ liệu giao dịch thường xuyên và theo quy định của pháp luật đối với dữ liệu kế toán, chứng từ.

Điều 13. Quản lý thiết bị đầu cuối

1. Thiết bị máy tính cấp cho cán bộ, nhân viên phải được cài đặt phần mềm phòng chống mã độc (Antivirus/EDR) có bản quyền, quản lý tập trung và không được phép tự ý gỡ bỏ.

2. Không được phép sử dụng các thiết bị lưu trữ ngoại vi cá nhân (USB, ổ cứng di động) kết nối vào máy tính của Ngân hàng, trừ trường hợp được phê duyệt đặc biệt bằng văn bản từ cấp có thẩm quyền phục vụ công việc cụ thể.

Điều 14. Quản lý sự cố và tính liên tục của hệ thống

1. Sự cố CNTT được phân loại thành 04 mức độ: Nghiêm trọng, Cao, Trung bình, Thấp. Mọi sự cố phải được ghi nhận vào hệ thống quản lý dịch vụ CNTT (ITSM).

2. Ngân hàng phải xây dựng và duy trì Kế hoạch duy trì hoạt động liên tục (BCP) và Kế hoạch phục hồi sau thảm họa (DRP). Đối với hệ thống CBS-T24, thời gian mục tiêu phục hồi (RTO) không được vượt quá 04 giờ và điểm mục tiêu phục hồi dữ liệu (RPO) không được vượt quá 15 phút.

3. Khối CNTT phải tổ chức diễn tập phục hồi sau thảm họa toàn diện tối thiểu 01 lần/năm.

Chương IV

AN TOÀN THÔNG TIN

Điều 15. Phân loại tài sản thông tin

1. Tài sản thông tin của Ngân hàng được phân thành 04 cấp độ bảo mật: Tuyệt mật, Tối mật, Mật và Phổ biến nội bộ.

2. Chủ sở hữu tài sản thông tin (Giám đốc các Khối/Ban nghiệp vụ) có trách nhiệm xác định cấp độ bảo mật cho dữ liệu thuộc phạm vi quản lý và rà soát, cập nhật định kỳ tối thiểu 01 lần/năm.

Điều 16. Kiểm soát truy cập

1. Việc cấp phát, thay đổi và thu hồi quyền truy cập vào hệ thống CNTT phải được phê duyệt bởi người quản lý trực tiếp và chủ sở hữu hệ thống.

2. Mật khẩu truy cập hệ thống phải có độ dài tối thiểu 08 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt; bắt buộc thay đổi định kỳ tối đa 90 ngày/lần.

3. Khi cán bộ, nhân viên chấm dứt hợp đồng lao động hoặc chuyển công tác, toàn bộ quyền truy cập phải được thu hồi hoặc điều chỉnh trong vòng 24 giờ kể từ thời điểm quyết định nhân sự có hiệu lực.

Điều 17. Bảo mật dữ liệu và mã hóa

1. Dữ liệu khách hàng, thông tin thẻ thanh toán và các dữ liệu thuộc cấp độ Mật trở lên phải được mã hóa khi lưu trữ trên cơ sở dữ liệu và khi truyền tải qua mạng diện rộng (WAN) hoặc Internet.

2. Khóa mã hóa phải được quản lý tập trung, lưu trữ an toàn và thực hiện thay đổi khóa (Key rotation) định kỳ tối thiểu 12 tháng/lần hoặc ngay lập tức khi có nghi ngờ lộ lọt khóa.

Điều 18. Giám sát và ứng phó sự cố an toàn thông tin

1. Ngân hàng thiết lập Trung tâm điều hành an toàn thông tin (SOC) để thu thập nhật ký hệ thống (log), giám sát và cảnh báo các hành vi bất thường, tấn công mạng liên tục 24/7.

2. Khi phát hiện sự cố ATTT, Đội ứng cứu sự cố phải tiến hành cô lập hệ thống bị ảnh hưởng trong vòng 30 phút, điều tra nguyên nhân và khôi phục dịch vụ theo quy trình chuẩn.

Chương V

QUẢN LÝ PHÁT TRIỂN PHẦN MỀM

Điều 19. Quy trình phát triển phần mềm

1. Việc phát triển phần mềm nội bộ hoặc thuê ngoài phải tuân thủ quy trình vòng đời phát triển phần mềm an toàn (SSDLC). Môi trường phát triển (Dev), môi trường kiểm thử (Test/UAT) và môi trường vận hành thực tế (Production) phải được tách biệt hoàn toàn về mặt vật lý hoặc logic.

2. Không được phép sử dụng dữ liệu thật của khách hàng trên môi trường phát triển và kiểm thử. Trường hợp bắt buộc phải sử dụng, dữ liệu phải được làm ẩn (Data masking) hoặc xáo trộn (Data scrambling) trước khi đưa vào môi trường kiểm thử.

Điều 20. Kiểm thử và nghiệm thu

1. Mọi phần mềm trước khi đưa vào sử dụng chính thức phải trải qua các giai đoạn kiểm thử: Kiểm thử chức năng, Kiểm thử hiệu năng và Kiểm thử bảo mật (đánh giá lỗ hổng bảo mật).

2. Đơn vị nghiệp vụ yêu cầu phần mềm phải cử nhân sự tham gia quá trình Kiểm thử chấp nhận của người dùng (UAT) và ký biên bản nghiệm thu trước khi triển khai.

Điều 21. Triển khai và bảo trì phần mềm

1. Việc triển khai phần mềm lên môi trường vận hành thực tế (Golive) phải có kế hoạch chi tiết, được cấp có thẩm quyền phê duyệt trước tối thiểu 03 ngày làm việc và thực hiện ngoài giờ giao dịch để giảm thiểu rủi ro gián đoạn.

2. Kế hoạch triển khai bắt buộc phải có phương án khôi phục trạng thái cũ (Rollback plan). Nếu quá trình triển khai gặp lỗi nghiêm trọng không thể khắc phục trong thời gian cho phép, phải kích hoạt phương án Rollback ngay lập tức.

Chương VI

TRÁCH NHIỆM CỦA CÁC ĐƠN VỊ

Điều 22. Trách nhiệm của Khối Công nghệ thông tin

1. Chịu trách nhiệm toàn diện trong việc quản lý, vận hành, bảo trì và nâng cấp hạ tầng, hệ thống CNTT của toàn Ngân hàng bảo đảm an toàn, liên tục.

2. Chủ trì xây dựng các quy định, quy trình, hướng dẫn kỹ thuật chi tiết để thực thi Quy chế này trình TGĐ ban hành.

3. Tổ chức hỗ trợ kỹ thuật (Helpdesk) cho người dùng cuối, xử lý các sự cố CNTT theo đúng cam kết chất lượng dịch vụ (SLA).

4. Báo cáo định kỳ hàng tháng cho TGĐ về tình hình hoạt động CNTT, các sự cố phát sinh và tiến độ thực hiện các dự án CNTT.

Điều 23. Trách nhiệm của Khối Quản lý Rủi ro

1. Thực hiện chức năng giám sát độc lập (tuyến phòng thủ thứ hai) đối với các rủi ro phát sinh từ hoạt động CNTT và ATTT.

2. Tham gia thẩm định rủi ro đối với các dự án đầu tư CNTT mới, các phần mềm nghiệp vụ quan trọng trước khi đưa vào vận hành.

3. Đề xuất các hạn mức rủi ro CNTT và theo dõi việc tuân thủ các hạn mức này, báo cáo kịp thời khi có dấu hiệu vi phạm.

Điều 24. Trách nhiệm của Ban Pháp chế và Tuân thủ

1. Cập nhật kịp thời các văn bản quy phạm pháp luật liên quan đến lĩnh vực CNTT, ATTT và an ninh mạng để tham mưu cho Ban Điều hành.

2. Thẩm định tính pháp lý của các hợp đồng mua sắm thiết bị, bản quyền phần mềm, thuê dịch vụ CNTT và hợp đồng bảo mật thông tin với đối tác.

3. Kiểm soát việc tuân thủ các quy định pháp luật và quy định nội bộ trong hoạt động CNTT của các đơn vị.

Điều 25. Trách nhiệm của các đơn vị sử dụng dịch vụ CNTT

1. Tuân thủ nghiêm ngặt các quy định về ATTT, quản lý tài khoản, mật khẩu và sử dụng thiết bị CNTT do Ngân hàng cấp phát đúng mục đích công việc.

2. Thông báo ngay lập tức cho Khối CNTT khi phát hiện các dấu hiệu bất thường, sự cố hệ thống hoặc nghi ngờ lộ lọt thông tin bảo mật.

3. Phối hợp chặt chẽ với Khối CNTT trong việc cung cấp yêu cầu nghiệp vụ, tham gia kiểm thử UAT và đánh giá hiệu quả của các phần mềm ứng dụng.

Chương VII

ĐIỀU KHOẢN THI HÀNH

Điều 26. Trách nhiệm thi hành

1. TGĐ có trách nhiệm tổ chức triển khai, phổ biến và chỉ đạo các đơn vị trực thuộc thực hiện nghiêm túc Quy chế này.

2. Giám đốc các Khối/Ban, Giám đốc Chi nhánh chịu trách nhiệm trước TGĐ về việc tuân thủ Quy chế này tại đơn vị mình quản lý.

3. Mọi hành vi vi phạm Quy chế này, tùy theo tính chất và mức độ, sẽ bị xử lý kỷ luật theo quy định nội bộ của Ngân hàng hoặc truy cứu trách nhiệm theo quy định của pháp luật.

Điều 27. Sửa đổi, bổ sung

1. Việc sửa đổi, bổ sung hoặc thay thế Quy chế này do HĐQT quyết định dựa trên đề nghị của TGĐ.

2. Trong quá trình thực hiện, nếu có vướng mắc hoặc cần điều chỉnh cho phù hợp với thực tiễn và quy định của pháp luật, Khối CNTT có trách nhiệm làm đầu mối tổng hợp, báo cáo TGĐ trình HĐQT xem xét, quyết định.

Điều 28. Hiệu lực thi hành

1. Quy chế này có hiệu lực thi hành kể từ ngày 01 tháng 7 năm 2025.

2. Các quy định nội bộ do Ngân hàng ban hành trước đây có nội dung trái với Quy chế này đều bị bãi bỏ./-