Nhiều nội dung đã được bàn thảo trong quá trình xây dựng dự án GFMIS, trong đó vấn đề đảm bảo an toàn thông tin cho hệ thống GFMIS được đặc biệt chú trọng. Cục Tin học và Thống kê tài chính, Bộ Tài chính có chức năng tham mưu và tổ chức thực hiện các hoạt động ứng dụng CNTT trong ngành Tài chính. Để tìm hiểu về ATTT trong triển khai hệ thống GFMIS, Tạp chí ATTT giới thiệu bài phỏng vấn ông Đặng Đức Mai, Cục trưởng Cục Tin học và Thống kê tài chính, Bộ Tài chính.
- Tạp chí ATTT: Ông vui lòng chia sẻ cho độc giả của Tạp chí ATTT biết một số nhiệm vụ chính của GFMIS?
- Ông Đặng Đức Mai: Theo Ngân hàng Thế giới định nghĩa, Hệ thống thông tin quản lý tài chính (FMIS) là một tập hợp các giải pháp tự động hóa nhằm tạo điều kiện cho chính phủ lập kế hoạch, thực hiện và giám sát ngân sách. Ở nước ta, Hệ thống Thông tin quản lý tài chính Chính phủ (GFMIS) được hiểu là một tập hợp các hệ thống ứng dụng được tích hợp lại để vận hành như một khối thống nhất, trong suốt, nhằm hỗ trợ các hoạt động trong quản lý tài chính. GFMIS sẽ đáp ứng được nhu cầu cấp thiết hiện nay của ngành Tài chính là hình thành một cơ sở dữ liệu tài chính quốc gia, có khả năng kết nối, tích hợp tất cả các dòng dữ liệu tài chính tại các đơn vị thuộc Bộ Tài chính và các Bộ, ngành liên quan. Cơ sở dữ liệu này cung cấp nguồn dữ liệu đầu vào cho các công cụ khai thác và phân tích dữ liệu chuyên sâu, hỗ trợ công tác báo cáo, quản lý và điều hành tài chính quốc gia của Chính phủ.
Thời gian vừa qua, Bộ Tài chính đã triển khai một số dự án hiện đại hóa, từng bước chuyển đổi từ các ứng dụng phân tán sang các hệ thống thông tin tập trung, cụ thể như hệ thống thông tin Quản lý ngân sách và Kho bạc (TABMIS), hệ thống Thông tin Quản lý nợ (DMFAS), hệ thống Thông quan điện tử tự động (VNACCS/VCIS), hệ thống Quản lý thuế tập trung (TMS),… Các hệ thống này đi vào hoạt động đã nâng cao chất lượng quản lý, tăng hiệu quả việc sử dụng các nguồn tài chính công và thúc đẩy hiện đại hóa ngành Tài chính. Triển khai GFMIS sẽ tiếp tục hoàn thiện thêm các ứng dụng CNTT với các chức năng nghiệp vụ chính như: lập ngân sách, kiểm toán và đánh giá,… để đáp ứng yêu cầu hiện đại hóa nền tài chính quốc gia.
Tạp chí ATTT: Vậy, vấn để an toàn thông tin được đánh giá như thế nào trong thực hiện hệ thống GFMIS?
Ông Đặng Đức Mai: Hệ thống GFMIS là sự kết hợp của các hệ thống thông tin kho bạc, quản lý thuế, hải quan, quản lý nợ, ngân sách và các hệ thống thông tin quản lý tài chính khác của Chính phủ, nên được coi như một hệ thống thông tin “xương sống” của toàn ngành Tài chính. Các dữ liệu trên hệ thống này cũng là thông tin thuộc bí mật nhà nước, do đó vấn đề an toàn thông tin được đặt lên hàng đầu. Cụ thể là phải đảm bảo các yêu cầu về bảo mật, tính toàn vẹn và sẵn sàng của dữ liệu và dịch vụ.
Không chỉ hệ thống GFMIS mà các hệ thống, ứng dụng, thiết bị, các cá nhân, đơn vị thuộc Bộ Tài chính và các cơ quan, đơn vị sử dụng ứng dụng của Bộ Tài chính đều phải tuân thủ các chính sách ATTT được quy định tại Quyết định số 2615/QĐ-BTC của Bộ Tài chính quy định về việc đảm bảo ATTT trên môi trường máy tính và mạng máy tính. Việc chấp hành nghiêm túc các quy định này sẽ đảm bảo việc khai thác đúng, triệt để chức năng của hệ thống và kiểm soát tốt các thay đổi trong công tác nghiệp vụ, sử dụng ứng dụng. GFMIS đặt ra yêu cầu mới đối với cán bộ, nhân viên về nghiệp vụ ngành, kiến thức về CNTT, công nghệ và các chính sách về bảo mật thông tin. Kinh nghiệm quốc tế cho thấy, hệ thống GFMIS chỉ hiệu quả khi mà quy trình nghiệp vụ hoàn thiện và hiện đại hóa, công nghệ trở thành nguồn kéo quy trình nghiệp vụ.
Tạp chí ATTT: Ông có thể nêu những nét chính trong chính sách an toàn thông tin đối với GFMIS?
Ông Đặng Đức Mai: GFMIS là hệ thống hoàn chỉnh giữa con người, thiết bị và công nghệ. Chính sách ATTT đối với GFMIS gồm những nét cơ bản như sau:
- Về công tác tổ chức nhân sự: quy định và mô tả rõ vai trò, trách nhiệm các bên liên quan tham gia hệ thống như: ở các cấp (lãnh đạo, cán bộ) và theo nhóm (quản lý, an ninh, vận hành, phát triển/thay đổi ứng dụng, nhóm hạ tầng,...). Hệ thống thông tin quản lý/nghiệp vụ chính của GFMIS có liên quan đến nhiều cơ quan, Bộ, ngành khác nhau, nên phải có quy định rõ ràng cơ cấu, chức năng, trách nhiệm quản lý, vận hành, giám sát hệ thống.
- Về phân loại thông tin, dữ liệu: cần phân loại, định nghĩa rõ loại thông tin dữ liệu thông thường, hay thông tin chỉ một nhóm người, cơ quan chức năng quản lý, hoặc thông tin thuộc bí mật Nhà nước. Từ đó có quy định cụ thể quyền của người dùng/ quản trị: quyền truy cập, sử dụng, khai thác thông tin, chức năng được phép sử dụng trên hệ thống....
- Về quản trị hệ thống thông tin:
+ Quản lý, đánh giá các thay đổi trên hệ thống, ứng dụng nhằm bảo đảm an toàn hệ thống bảo mật, dữ liệu trong toàn bộ quá trình triển khai, vận hành, khai thác. Tổ chức thực hiện kiểm tra, đánh giá an toàn hệ thống định kỳ kể từ khi xây dựng triển khai, vận hành, khai thác hoặc khi cần thực hiện thay đổi trên hệ thống, ứng dụng.
+ Quản trị, giám sát hệ thống, thực hiện xây dựng và áp dụng cơ chế báo cáo công tác quản trị, giám sát hệ thống. Trang bị và thiết lập các thiết bị bảo mật như thiết bị kiểm soát vào/ra, thiết bị Firewall, IPS, thiết bị phòng chống tấn công.... Áp dụng công nghệ mã hóa an toàn cho ứng dụng, thông tin dữ liệu để đảm bảo bảo mật, toàn vẹn thông tin.
+ Có quy định và biện pháp an toàn, bảo mật mức vật lý cho các thiết bị lưu dữ liệu của hệ thống, để đảm bảo thông tin, dữ liệu không bị truy cập trái phép, không bị rò rỉ bên ngoài. Thực hiện bảo trì, bảo dưỡng các thiết bị thường xuyên.
+ Yêu cầu thiết lập tính năng lưu nhật ký (log) hệ thống: để kiểm tra, quản lý các thông tin và những biến động trong hệ thống.
+ Cần thực hiện sao lưu dữ liệu và trang bị thiết bị dự phòng phù hợp với từng loại dữ liệu, ứng dụng và hệ thống; Kiểm tra định kỳ, thực hiện quy trình phục hồi thử hệ thống sao lưu để bảo đảm khi có sự cố thì hệ thống và dữ liệu đã được phục hồi trong thời gian ngắn nhất; Xây dựng quy trình ứng cứu sự cố khẩn cấp, và kiểm tra thực nghiệm quy trình này....
Nhìn chung, chính sách ATTT cho GFMIS phải tuân thủ các nội dung của Quyết định số 2615 của Bộ Tài chính, đồng thời cần liên tục hoàn thiện cùng với quá trình xây dựng và triển khai hệ thống GFMIS.
Tạp chí ATTT: Chúng ta có thể học hỏi những kinh nghiệm gì của các nước gần giống với nước ta trong xây dựng GFMIS?
Ông Đặng Đức Mai: FMIS đã được 15 quốc gia trên thế giới triển khai, trong đó có một số nước có những nét gần giống Việt Nam như Malaysia, Indonesia, Philippines, Jordan, Colombia,.... Những kinh nghiệm quốc tế đã được rút ra là:
Thứ nhất, xây dựng GFMIS là một quá trình lâu dài và có sự phối hợp của rất nhiều cơ quan, Bộ, ngành; Thứ hai, cần tiến hành việc chuẩn hóa các ứng dụng tin học, các thông tin phục vụ công tác quản lý tài chính, kế toán tại các Bộ, ngành, đơn vị chi tiêu để phục vụ việc tích hợp hệ thống, tổng hợp số liệu thông tin tài chính của toàn quốc gia; Thứ ba, xây dựng GFMIS không những cần sự hỗ trợ của ứng dụng CNTT mà cần gắn chặt với sự cải cách mạnh mẽ các cơ chế, chính sách quản lý tài chính, ngân sách và kế toán công; Thứ tư, công tác chuẩn bị dự án cần được thực hiện một cách cẩn thận, có chiến lược tổng thể và các bước chi tiết, đảm bảo làm chủ được mục tiêu, yêu cầu và phương pháp, kế hoạch triển khai dự án phù hợp.
Điều kiện tiền đề triển khai FMIS đã được đưa ra là cần thiết lập các trung tâm dữ liệu và hệ thống mạng thông tin truyền thông trên toàn quốc. Trong đó, chiến lược thiết kế hệ thống, xác định các yêu cầu kỹ thuật và chức năng của FMIS tiến tới làm chủ trong quản lý và vận hành hệ thống phần cứng và phần mềm hệ thống FMIS... là thách thức lớn. Bên cạnh đó, sự tham gia của các lãnh đạo, chuyên gia về CNTT và ATTT vào quá trình chuẩn bị dự án sẽ giúp cho GFMIS sớm được triển khai an toàn và hiệu quả.
Tạp chí ATTT: Xin cảm ơn ông!