14/2000/QĐ-NHNN16

QUYẾT ĐỊNH

VỀ VIỆC BAN HÀNH QUY CHẾ QUẢN LÝ, SỬ DỤNG HỆ THỐNG TIN HỌC TRONG NGÀNH NGÂN HÀNG

THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC.

-Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 01/1997/QH10 ngày 12/12/1997; Luật các tổ chức tín dụng số 02/1997/QH10 ngày 12/12/1997;
-Căn cứ Nghị định số 15/CP ngày 02 tháng 03 năm 1993 của Chính phủ quy định về nhiệm vụ, quyền hạn và trách nhiệm quản lý Nhà nước của Bộ, cơ quan ngang Bộ;
-Theo đề nghị của Cục trưởng Cục Công nghệ Tin học Ngân hàng,

QUYẾT ĐỊNH

Điều 1. Ban hành kèm theo Quyết định này “Quy chế quản lý, sử dụng hệ thống tin học trong ngành Ngân hàng”.

Điều 2. Quyết định này có hiệu lực sau 15 ngày kể từ ngày ký và thay thế Quyết định số 218/QĐ-NH16 ngày 15 tháng 11 năm 1993 của Thống đốc Ngân hàng Nhà nước ban hành Quy chế quản lý, sử dụng máy tính, thiết bị tin học và bảo mật thông tin, dữ liệu trong ngành Ngân hàng.

Điều 3. Chánh Văn phòng, Cục trưởng Cục Công nghệ Tin học Ngân hàng, Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước; Giám đốc chi nhánh Ngân hàng Nhà nước tỉnh, thành phố trực thuộc Trung ương; Tổng Giám đốc (Giám đốc) các tổ chức tín dụng Nhà nước; Tổng Công ty vàng bạc đá quý chịu trách nhiệm thi hành Quyết định này.

QUY CHẾ

QUẢN LÝ, SỬ DỤNG HỆ THỐNG TIN HỌC TRONG NGÀNH NGÂN HÀNG
(Ban hành kèm theo Quyết định số 14/2000/QĐ-NHNN16 ngày 07 tháng 01 năm 2000 của Thống đốc Ngân hàng Nhà nước)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Đối tượng áp dụng phạm vi điều chỉnh:

1. Quy chế này áp dụng đối với Ngân hàng Nhà nước, các Tổ chức tín dụng Nhà nước (sau đây gọi chung là: các đơn vị Ngân hàng);
2. Quy chế này quy định về việc quản lý, sử dụng hệ thống tin học trong ngành Ngân hàng;
3. Các Ngân hàng thương mại cổ phần, ngân hàng liên doanh, chi nhánh ngân hàng nước ngoài… khi tham gia hệ thống tin học trong ngành Ngân hàng (như tham gia việc thanh toán liên ngân hàng qua mạng vi tính) cần đảm bảo tuân thủ các tiêu chuẩn kỹ thuật quy định trong Quy chế này để đảm bảo an toàn cho hệ thống tin học trong ngành Ngân hàng.

Điều 2. Hệ thống tin học trong ngành Ngân hàng bao gồm:

1. Các máy tính sử dụng đơn lẻ và các thiết bị chuyên dụng kèm theo;
2. Hệ thống mạng máy tính;
3. Các phần mền tin học;
4. Hệ thống cơ sở dữ liệu từ Trung ương đến địa phương.

Điều 3. Giải thích các thuật ngữ sử dụng trong Quy chế này:

1. Quản lý hệ thống tin học: là việc tổ chức, bảo vệ, duy trì, phát triển và điều khiển các hoạt động của hệ thống tin học trong ngành Ngân hàng;
2. Sử dụng hệ thống tin học: là dùng hệ thống tin học để thực hiện các nghiệp vụ chuyên môn của ngành Ngân hàng.
3. Phần cứng của hệ thống tin học bao gồm:

+ Các loại máy tính, thiết bị chuyên dụng kèm theo, mạng máy tính và các thiết bị mạng;

+ Các linh kiện, phụ tùng dùng để thay thế, sửa chữa máy;

+ Các thiết bị, công cụ phục vụ cho việc bảo trì, bảo dưỡng sửa chữa máy.

4. Phần mềm tin học bao gồm:

+ Các hệ điều hành, các hệ quản trị cơ sở dữ liệu, phần mềm ứng dụng, phần mềm truyền thông, phần mềm bảo mật;

+ Các ngôn ngữ thuật toán, phương pháp toán học, ngôn ngữ lập trình và tài liệu kỹ thuật;

+ Thư viện chương trình mẫu;

+ Thiết kế soạn thảo và phát triển phần mềm ứng dụng.

5. Các thiết bị chuyên dụng kèm theo gồm: máy in, máy rút tiền tự động, máy quét (Scanner), máy đọc các loại thẻ, bộ tích điện (UPS), ổn áp.
6. Hệ thống mạng máy tính bao gồm: tất cả mạng cục bộ (LAN), mạng diện rộng (WAN) và các thiết bị mạng;
7. Thiết bị mạng gồm các loại: Các bộ giao tiếp mạng (Nic, Transceiver); Bộ phân chia (Hub, Swiching Hubs), Bộ chuyển tiếp (Repeater); Cầu nối (Bridge); bộ chọn đường (Router); Bộ điều chế và giải điều chế (Modem); Bộ chọn đường (Brouter); các đầu chuyển đổi, dây mạng;
8. Cơ sở dữ liệu là kho thông tin về một hay nhiều chủ đề, được tổ chức hợp lý để dễ dàng quản lý, truy tìm và sử dụng;
9. Sổ lý lịch máy dùng để theo dõi máy tính (hay thiết bị kèm theo) được duy trì từ khi lắp đặt máy cho đến khi không sử dụng máy đó nữa; Trong đó ghi: chủng loại máy, số máy, ngày lắp đặt máy, những hư hỏng đã được sửa chữa, linh kiện thay thế.
10. Người quản trị mạng máy tính là người quản lý và điều hành hệ thống mạng máy tính.

Điều 4. Việc quản lý, sử dụng hệ thống tin học trong Ngành ngân hàng được thực hiện theo các yêu cầu sau:

1. Quản lý chặt chẽ, sử dụng khai thác có hiệu quả các loại máy tính, hệ thống mạng máy tính, các phần mềm tin học;
2. Trang thiết bị mới phần cứng, phần mềm, viễn thông phải đảm bảo sự thống nhất trong ngành Ngân hàng, tuân thủ các tiêu chuẩn quốc gia và quốc tế, dễ dàng kết nối, mở rộng phát triển phù hợp với trình độ tiên tiến của tin học trên thế giới.

Chương II

NỘI DUNG QUẢN LÝ, SỬ DỤNG HỆ THỐNG TIN HỌC TRONG NGÀNH NGÂN HÀNG

Mục 1. Phần cứng hệ thống tin học

Điều 5. Trang bị phần cứng trong các đơn vị Ngân hàng theo các yêu cầu sau:

1. Phải theo kịp sự phát triển công nghệ tin học tiên tiến trên thế giới, phù hợp với điều kiện thực tế ở Việt Nam.
2. Phải thích hợp với khả năng tổ chức, quản lý, chỉ đạo, điều hành, kiểm tra và thực hiện.
3. Phải đáp ứng khả năng mở rộng của hệ thống, sao cho dễ dàng liên kết, nâng cấp, phát triển.
4. Phải đáp ứng được yêu cầu xử lý nghiệp vụ đòi hỏi.

Điều 6. Những điều kiện để đảm bảo cho máy tính, thiết bị mạng, các thiết bị chuyên dụng kèm theo hoạt động là:

1. Có nội dung cho phòng máy, nơi đặt máy, quy định rõ trách nhiệm của cán bộ kỹ thuật, người sử dụng máy và các vấn đề liên quan;
2. Nơi đặt máy phải đảm bảo các thông số về môi trường (độ ẩm, nhiệt độ..) theo đúng yêu cầu kỹ thuật quy định;
3. Hệ thống điện phải đảm bảo các chỉ tiêu kỹ thuật, có hệ thống nối đất bảo vệ an toàn cho máy và người sử dụng;
4. Phải có hệ thống chống sét bảo vệ cho đường truyền thông;
5. Phải có đủ các phương án kỹ thuật, giải quyết nhanh chóng các sự cố về phần cứng, phần mềm, cơ sở dữ liệu, nguồn cung cấp năng lượng, truyền thông, đảm bảo cho các hoạt động nghiệp vụ không bị ngừng trệ và an toàn dữ liệu.

Điều 7. Sửa chữa, bảo trì máy tính, thiết bị mạng, các thiết bị chuyên dụng kèm theo phải theo các yêu cầu sau:

1. Máy tính, thiết bị mạng và các thiết bị chuyên dụng kèm theo phải có sổ lý lịch máy theo dõi quá trình hoạt động. Khi có sự cố kỹ thuật, cán bộ kỹ thuật phần cứng sau khi giải quyết xong phải ghi rõ những hư hỏng, các linh kiện phụ tùng thay thế, tình trạng kỹ thuật hiện tại vào sổ lý lịch máy.
2. Hàng tháng, máy tính phải được kiểm tra tình trạng kỹ thuật, bảo trì thường xuyên sớm phát hiện các hư hỏng có thể xảy ra;
3. Cán bộ kỹ thuật phần cứng phải thống kê, tổng hợp những lỗi hay xảy ra trong phần cứng và có biện pháp xử lý kịp thời.

Điều 8. Các đơn vị Ngân hàng cần xây dựng, khai thác hệ thống mạng máy tính đáp ứng yêu cầu trao đổi, xử lý thông tin một cách có hiệu quả theo yêu cầu sau:

1. Các thiết bị mạng được trang bị phải theo các tiêu chuẩn kỹ thuật phổ biến trên thế giới, dễ liên kết, dễ thay thế phát triển.
2. Xây dựng, cải tạo hệ thống mạng theo các mô hình mạng tiên tiến để tăng khả năng phục vụ, bảo mật phù hợp với xu thế phát triển của kỹ thuật;
3. Khi thiết kế các mạng cục bộ, mạng diện rộng phải đảm bảo thông lượng tại các thiết bị mạng, đường truyền, để thông tin trên toàn mạng không bị ách tắc, làm ảnh hưởng thời gian hoàn thành công việc.

Điều 9. Mạng diện rộng được kết nối dựa trên cơ sở về truyền thông của ngành Bưu chính Viễn thông hoặc các ngành khác có cùng chức năng, sao cho đảm bảo thông tin được truyền dẫn nhanh chóng, liên tục, có độ tin cậy cao, hiệu quả kinh tế.

Điều 10. Việc thiết lập địa chỉ mạng phải tuân thủ theo các yêu cầu sau:

1. Thiết lập địa chỉ cho từng máy tính, thiết bị mạng, theo đơn vị, địa phương, khu vực;
2. Việc thiết lập địa chỉ mạng đảm bảo thống nhất trong ngành Ngân hàng;
3. Thiết lập địa chỉ mạng phải tuân theo các quy định của Quốc tế.

Điều 11. Việc quản lý hệ thống mạng máy tính phải tuân thủ theo các yêu cầu sau:

1. Người quản trị mạng là người chịu trách nhiệm điều hành mọi hoạt động của hệ thống mạng máy tính;
2. Những đơn vị, cá nhân muốn kết nối vào hệ thống mạng máy tính phải được phép của Thủ trưởng đơn vị chủ quản; Người quản trị mạng có trách nhiệm kiểm soát và theo dõi việc kết nối đó;
3. Người quản trị mạng phải nắm vững tình trạng kỹ thuật của hệ thống mạng máy tính; Nếu phát hiện có trục trặc gì về mặt kỹ thuật của hệ thống mạng máy tính, người quản trị mạng phải báo cáo ngay cho người phụ trách của mình biết để có biện pháp giải quyết kịp thời.
4. Người quản trị mạng quản lý, theo dõi hoạt động của hệ thống mạng máy tính bằng các phần mềm quản lý mạng.

Mục 2. Phần mềm tin học

Điều 12. Trang bị, sử dụng các hệ điều hành, hệ quản trị cơ sở dữ liệu:

1. Các hệ điều hành, hệ quản trị cơ sở dữ liệu được lựa chọn phải phù hợp với quy mô, yêu cầu quản lý nghiệp vụ của ngành Ngân hàng;
2. Các hệ điều hành, hệ quản trị cơ sở dữ liệu này đã được ứng dụng ở nhiều Ngân hàng trên thế giới.

Điều 13. Tổ chức cơ sở dữ liệu:

1. Cơ sở dữ liệu phải được thoả mãn mọi yêu cầu dữ liệu của người sử dụng;
2. Dữ liệu phải được thống nhất về mẫu mực, tên gọi, kích thước ý nghĩa công dụng của thông tin trong cơ sở dữ liệu;
3. Tránh trùng lặp thông tin trong cơ sở dữ liệu;
4. Cơ sở dữ liệu phải được tổ chức một cách linh hoạt nhằm tạo cho hệ thống phần mềm dễ dàng cập nhật thông tin, tổng hợp, lựa chọn, xử lý, truyền dẫn nhanh chóng và chính xác.

Điều 14. Các phần mềm ứng dụng được xây dựng phải đáp ứng được yêu cầu sau:

1. Các mềm ứng dụng được xây dựng phải sử dụng ứng dụng thuận tiện, dễ dàng bổ sung, sửa đổi nhanh chóng phù hợp với yêu cầu quản lý và kinh doanh của ngành Ngân hàng;
2. Xây dựng phần mềm ứng dụng phải sử dụng công nghệ hiện đại, dễ nâng cấp phù hợp với tiến bộ kỹ thuật trên thế giới;
3. Các phần mềm ứng dụng phải dễ thay đổi thích ứng với thiết bị, có khả năng liên kết, kế thừa phát triển;
4. Phần mềm ứng dụng phải có tính độc lập với hệ điều hành, cơ sở dữ liệu và chương trình truyền thông;
5. Thiết kế phần mềm ứng dụng phải giao diện thân thiện với người sử dụng;
6. Mỗi phần mềm ứng dụng có đủ tài liệu thiết kế và hướng dẫn sử dụng.

Mục 3. Sử dụng hệ thống tin học

Điều 15. Sử dụng máy tính, các thiết bị chuyên dụng phải tuân theo các yêu cầu sau:

1. Người sử dụng máy tính, các thiết bị tin học phải được đào tạo, nắm vững kỹ thuật được phân công đảm trách;
2. Trước khi sử dụng, vận hành máy, người sử dụng phải kiểm tra các điều kiện làm việc như: môi trường, an toàn thiết bị và dữ liệu. Khi vận hành máy tính và các thiết bị kèm theo, người sử dụng máy tính phải đảm bảo thực hiện đúng các thao tác kỹ thuật quy định, theo dõi quá trình hoạt động, phát hiện các lỗi của hệ thống.
3. Người sử dụng máy tính phải nhanh chóng xử lý mọi sự cố kỹ thuật, nêu không đủ khả năng hoặc vượt quá thẩm quyền xử lý, phải báo ngay cho cán bộ phụ trách của mình để có biện pháp giải quyết kịp thời.
4. Người sử dụng máy tính chịu trách nhiệm bảo vệ, giữ gìn máy, đảm bảo vệ sinh công nghiệp.
5. Người sử dụng máy tính phải thực hiện đúng nội quy bảo quản thiết bị và bảo mật số liệu của Nhà nước.

Điều 16. Người sử dụng máy tính thực hiện các quy trình nghiệp vụ phải tuân thủ các điều kiện sau:

1. Phải được học tập, hướng dẫn về quy trình nghiệp vụ xử lý trên hệ thống thông tin học;
2. Phải đảm bảo chất lượng sản phẩm, chính xác, an toàn tài sản;
3. Chấp hành sự phân công về quyền hạn vận hành nghiệp vụ; không được vận hành các quy trình, các phần nghiệp vụ, các chức năng của chương trình ngoài quyền hạn được sử dụng;

Điều 17. Người sử dụng máy tính phải phản ánh trung thực với dữ liệu theo yêu cầu sau:

1. Thu thập dữ liệu ban đầu chính xác đúng với thực tế phát sinh;
2. Yếu tố chứng từ phải viết đủ, đúng phạm vi, khuôn mẫu, kích thước;
3. Con số phải rõ ràng, đúng nhóm hoặc ngăn cách của dãy số;
4. Chữ viết đủ nét, đủ nghĩa, đặc biệt là số tiền bằng chữ;
5. Chứng từ rõ ràng, sạch sẽ không được sửa chữa, gạch, xoá;
6. Dùng thiết bị hiện đại để ghi, đọc phải thực hiện đúng quy trình, thao tác kỹ thuật.

Điều 18. Thông tin được phân phối phải đúng đối tượng và đáp ứng các tiêu chuẩn sau:

1. Việc phân phối thông tin phải tuân thủ tuyệt đối theo các mức ưu tiên;
2. Xây dựng các mức ưu tiên phải căn cứ vào chức năng, nhiệm vụ của từng đơn vị, từng bộ phận cá nhân;
3. Thông tin được phân phối phải đảm bảo đầy đủ, bí mật, an toàn và sử dụng đúng mục đích.

Mục 4. An toàn hệ thống tin học

Điều 19. Xây dựng cơ sở dự phòng cho hệ thống tin học.

1. Các trung tâm xử lý tin học lớn hệ thống điều khiển tin học quan trọng, phải xây dựng cơ sở dự phòng, thường xuyên được cập nhật dữ liệu từ cơ sở chính; Địa điểm xây dựng các cơ sở dữ liệu dự phòng phải cách xa trung tâm dữ liệu chính tối thiểu 6 km tính theo đường kính chim bay;
2. Đối với các máy chủ, thiết bị tin học quan trọng phải có dự phòng, hoặc chạy song hành, để đảm bảo công việc không bị ngừng trệ khi có sự cố xảy ra;
3. Đường truyền thông tại mỗi cơ sở phải có dự phòng, đảm bảo thông tin được liên tục.

Điều 20. Nguồn điện cung cấp cho hệ thống tin học phải đảm bảo:

1. Nguồn điện phải ổn định, có hệ thống nối đất, đảm bảo các thông số kỹ thuật;
2. Máy tính, các thiết bị tin học phải được cung cấp điện qua ổn áp, bộ lưu điện (UPS);
3. Hệ thống điện trong phòng đặt máy phải có thiết bị tự động ngắt khi có sự cố xảy ra;
4. Phải có nguồn điện dự phòng thay thế khi điện lưới bị mất;
5. Phải có thiết bị báo cháy tự động, có phương tiện chữa cháy tại chỗ để phòng hoả hoạn do sự cố điện gây ra.

Điều 21. Đối với những loại thông tin, dữ liệu cần bảo mật thì phải tuân thủ theo quy định của Quyết định 135/1999/QĐ-TTg ngày 02 tháng 06 năm 1999 của Thủ tướng Chính phủ về danh mục bí mật Nhà nước trong ngành Ngân hàng.

Điều 22. Tại các đơn vị Ngân hàng, số liệu trong máy tính, trong các vật mang tin, trên đường truyền tin và hệ thống lưu trữ số liệu phải được bảo vệ bằng các biện pháp;

1. Bảo vệ số liệu bằng phần cứng:

+ Người có trách nhiệm quản lý chặt chẽ chìa khoá của thiết bị;

+ Người sử dụng máy quản lý, giữ gìn, không để cho người không có trách nhiệm biết mật khẩu của máy (Password).

+ Lắp đặt các thiết bị phần cứng để mã hoá số liệu.

2. Bảo vệ số liệu bằng phần mềm:

+ Mã khoá chức năng cho từng người sử dụng;

+ Xác định chu kỳ thay đổi mật mã cho phù hợp;

+ Xây dựng mật mã cho các sản phẩm ra và quyền thực hiện;

+ Khoá nội dung thông tin trong quá trình xử lý;

+ Khoá nén kích thước dữ liệu;

+ Mã hoá thông tin trong quá trình truyền dẫn;

3. Bảo vệ số liệu bằng việc quản lý quyền truy nhập vào máy:

+ Quản lý toàn bộ danh sách của những người sử dụng máy;

+ Quy định về thời gian được phép truy cập máy cho người sử dụng;

+ Quy định rõ những đối tượng được quyền xâm nhập cơ sở dữ liệu và các chức năng của chương trình.

4. Bảo vệ số liệu bằng biện pháp hành chính tổ chức:

+ Giao trách nhiệm, quyền hạn cụ thể rõ ràng cho từng người theo quy định của từng quy trình nghiệp vụ;

+ Người có trách nhiệm bảo quản mật mã, mật khẩu, số liệu phải đảm bảo an toàn, bí mật, không được tiết lộ cho người khác biết để lợi dụng;

+ Các mật mã, mật khẩu phải được thay đổi đúng quy trình và thường xuyên theo định kỳ đã quy định.

Điều 23. Các loại thông tin, dữ liệu cần được lưu trữ:

1. Số dư tài khoản khách hàng; Hồ sơ gửi tiền tiết kiệm; Cân đối kế toán Ngân hàng hàng tháng, hàng năm của đơn vị Ngân hàng;
2. Dữ liệu chuyển tiền liên ngân hàng;
3. Dữ liệu về thông tin báo cáo của các đơn vị Ngân hàng;
4. Các hệ thống văn bản, công văn khác.
5. Các loại phần mềm tin học phục vụ công tác của ngành.

Điều 24. Thời hạn lưu trữ thông tin phải thực hiện theo các Quy định hiện hành của Nhà nước, thực hiện theo Quyết định số 63/QĐ-NH2 ngày 22/03/1997 của Thống đốc Ngân hàng Nhà nước ban hành Quy định về bảo quản chứng từ kế toán của Ngân hàng Nhà nước.

1. Loại lưu trữ vĩnh viễn: Bao gồm các văn bản quy phạm pháp luật của Nhà nước, của Ngành về công tác ngân hàng (trừ khi có lệnh huỷ bỏ của cấp có thẩm quyền); Bảng quyết toán tài sản năm, quyết toán niên độ, cân đối tài khoản năm, hồ sơ các đợt thu đổi tiền…
2. Loại bảo quản lâu dài: Bao gồm sổ sách, chứng từ kế toán, hồ sở theo dõi vay vốn,… được bảo quản từ 10 năm cho đến khi tài liệu không còn tác dụng;
3. Loại bảo quản tạm thời: Loại tài liệu chỉ có tác dụng giải quyết công việc hàng ngày, không có ý nghĩa lịch sử, được bảo quản trong thời gian 10 năm trở lại.

Điều 25. Lưu trữ thông tin, dữ liệu phòng thiên tai, thảm hoạ.

1. Nơi lưu trữ thông tin, dữ liệu phải phòng được hoả hoạn, lụt, bão, trong điều kiện nhiệt độ, độ ẩm cho phép tránh tự hư hỏng;
2. Mỗi nội dung lưu trữ thông tin, dữ liệu được cất ở 3 địa điểm khác nhau.
3. Tất cả các mật mã, mật khẩu được nêu ở Điều 22 của Quy chế này phải được in ra giấy, niêm phong để người phụ trách trực tiếp cất giữ theo chế độ mật.

Chương III

XỬ PHẠT VI PHẠM

Điều 26. Các tổ chức, cá nhân vi phạm các quy định tại Quy chế này, tuỳ theo mức độ vi phạm sẽ bị xử lý hành chính hoặc bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại phải bồi thường theo quy định của pháp luật.

Chương IV

ĐIỀU KHOẢN THI HÀNH

Điều 27. Cục trưởng Cục Công nghệ Tin học Ngân hàng chịu trách nhiệm hướng dẫn và phối hợp với Chánh Thanh tra Ngân hàng Nhà nước, Vụ trưởng Vụ Tổng kiểm soát, Vụ trưởng Vụ Kế toán Tài chính kiểm tra thực hiện Quy chế này.

Điều 28. Việc bổ sung và sửa đổi Quy chế này do Thống đốc Ngân hàng Nhà nước quyết định.