- Hội đồng quản trị (HĐQT): Hội đồng quản trị là cơ quan quản lý cao nhất của Vietcombank, thực hiện quản lý theo quy định của luật các tổ chức tín dụng, các
B. Các nhân tố rủi ro chung: rủi ro con người – rủi ro kiểm soát
3.2.8. Tăng cƣờng kiểm soát thông tin
Trong các doanh nghiệp, thông tin là một loại tài sản quan trọng và vì thế nó cần được bảo vệ. Để bảo vệ được thông tin cũng cần phải kiểm soát được sự tiếp cận với thông tin thông qua một số biện pháp sau:
* Kiểm soát những hành vi bị nghiêm cấm tuyệt đối:
- Không tuân thủ các quy định về an ninh hệ thống CNTT của Nhà nước, của NHNN và của Vietcombank.
- Vi phạm quyền của Vietcombank về bản quyền, bí mật kinh doanh, bằng sáng chế hay tài sản trí tuệ khác.
- Đưa các chương trình có dụng ý xấu lên mạng hoặc máy chủ (Virus, các chương trình phá hoại, bom thư, thu thập thông tin...)
- Để lộ mật khẩu cho người khác hoặc cho phép người khác sử dụng mật khẩu của mình gây ra những hậu quả nghiêm trọng ảnh hưởng đến hoạt động hoặc uy tín của Ngân hàng.
- Tự ý thay đổi các thông số hệ thống trên máy: tên Domain, tên máy, địa chỉ IP, thiết lập quyền truy nhập, chia sẻ.
- Các phòng ban nghiệp vụ tự ý phát triển các chương trình ứng dụng riêng có sử dụng các thông tin trong các hệ thống ứng dụng hiện có của Vietocmbank khi không có sự đồng ý của Trung tâm tin học...
* Quản lý xác thực người sử dụng trên hệ thống CNTT
- Mọi hệ thống CNTT phải quản lý, xác thực được người sử dụng truy nhập vào hệ thống nhằm phát hiện và ngăn cản kịp thời việc truy cập trái phép vào mạng nội bộ.
- Quản lý việc cấp quyền nhằm xác định đúng quyền hạn sử dụng tài nguyên cũng như nguồn thông tin trong hệ thống mạng đến người sử dụng bao gồm việc khởi tạo kịp thời và chính xác quyền của người sử dụng; loại bỏ những người sử dụng không còn đủ thẩm quyền và cập nhật đủ quyền hạn cho người sử dụng để thực thi nhiệm vụ mà người đó được phân công.
- Xác thực người sử dụng tập trung: Người sử dụng trong vòng 10 ngày làm việc không truy cập vào hệ thống sẽ bị tạm khoá không được truy cập vào hệ thống trừ ban lãnh đạo cho phép 60 ngày...
- Tuyệt đối tuân thủ cách thức thay đổi mật khẩu khi truy nhập. * Kiểm soát truy nhập hệ thống CNTT
- Quy định rằng, chỉ có những người liên quan và có thẩm quyền mới được phép tiếp cận với những chương tình và dữ liệu quan trọng.
- Xây dựng, phê chuẩn một danh sách những cá nhân và mức độ tiếp cận thông tin của họ.
- Quy định chặt chẽ về khả năng thay đổi các cơ sở dữ liệu, việc nhập dữ liệu hay việc thay đổi các thông tin trong đơn vị.
và các khu vực đặt, sử dụng trang thiết bị CNTT phải có nội quy và áp dụng các biện pháp bảo vệ, kiểm soát an ninh vào ra, các điều kiện về môi trường hoạt động như nhiệt độ phòng, độ ẩm, hệ thống điện; Việc vận hành máy chủ phải do nhóm quản trị hệ thống thực hiện... Quy định chặt chẽ về việc công bố thông tin của Vietocmbank.