"Sức nóng" từ một Nghị quyết- Kỳ 3: Bảo đảm "dữ liệu vàng" trong môi trường số

Là một đơn vị được Đảng ủy EVN giao nhiệm vụ xây dựng phần mềm “Sổ tay đảng viên điện tử và quản lý cán bộ, đảng viên” của EVN, Đảng bộ EVNICT đã nỗ lực, quyết tâm hoàn thành chỉ trong 6 tháng (khởi công ngày 10/10/2024 và hoàn thành ngày 26/3/2025) để chào mừng Đại hội Đảng bộ Tập đoàn Điện lực Việt Nam.

Đồng chí Nguyễn Minh Khiêm - Ủy viên Ban chấp hành Đảng bộ EVN, Bí thư Đảng ủy, Giám đốc EVNICT - chia sẻ về việc bảo đảm dữ liệu an toàn, an ninh khi đưa nghiệp vụ công tác đảng lên môi trường số.

Thách thức khi “public” dữ liệu lên môi trường số

- Xin đồng chí cho biết khái quát về phần mềm “Sổ tay đảng viên điện tử và quản lý cán bộ, đảng viên” của EVN?

Đồng chí Nguyễn Minh Khiêm: Thực hiện chủ trương số hóa nghiệp vụ công tác đảng, ứng dụng công nghệ thông tin trong các hoạt động; nâng cao chất lượng sinh hoạt chi bộ và công tác quản lý tổ chức đảng, cán bộ, đảng viên trong giai đoạn mới theo các Nghị quyết, Chỉ thị, Kế hoạch của Trung ương, Ban Thường vụ Đảng ủy EVN đã chỉ đạo và giao nhiệm vụ cho Đảng bộ EVNICT xây dựng phần mềm “Sổ tay đảng viên điện tử và quản lý cán bộ, đảng viên”.

Trong thời đại bùng nổ thông tin như hiện nay, việc cung cấp đầy đủ, kịp thời thông tin chính thống cho đảng viên có ý nghĩa rất quan trọng. Chính vì vậy, ngay sau khi Đảng bộ EVN giao nhiệm vụ, chúng tôi đã bắt tay ngay vào triển khai xây dựng phần mềm “Sổ tay đảng viên điện tử và quản lý cán bộ, đảng viên”.

Đảng bộ EVNICT đã giao nhiệm vụ cho chi bộ Trung tâm phát triển phần mềm, sau đó Trung tâm đã phối hợp với các Ban Tập đoàn khảo sát, phân tích, lập phương án, xây dựng và triển khai. Chỉ trong một thời gian rất ngắn, chúng tôi đã hoàn thiện phần mềm với những phân hệ chính như: Văn bản Đảng; thông báo nội bộ; sinh hoạt Đảng; quản lý tin tức; quản lý tổ chức, thông tin Đảng viên; quản lý văn kiện; bảo tàng số; quản lý học, thi trực tuyến.

Đây là một phần mềm trong hệ sinh thái hệ thống phần mềm SmartEVN của EVN có 2 phiên bản web và Mobile App. Phần mềm hiện đang được áp dụng tại 24 đảng bộ, chi bộ trực thuộc Đảng bộ Tập đoàn Điện lực Việt Nam với hơn 9.200 đảng viên.

- Đảm bảo an toàn, an ninh thông tin, đảm bảo dữ liệu đối với công tác đảng là nhiệm vụ quan trọng, hàng đầu. Xin đồng chí cho biết những khó khăn, thách thức khi đưa dữ liệu này lên môi trường số?

Đồng chí Nguyễn Minh Khiêm: Nghị quyết số 57-NQ/TW ngày 22/12/2024 của Bộ Chính trị về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia chỉ rõ cần bảo đảm an ninh mạng, bảo mật thông tin, dữ liệu, đồng thời phát triển công nghiệp nội địa về an ninh mạng.

Khi phát triển phần mềm “Sổ tay đảng viên điện tử và quản lý cán bộ, đảng viên” của EVN, chúng tôi xác định, thách thức lớn nhất là quản lý dữ liệu, đảm bảo an ninh bảo mật khi đưa dữ liệu lên môi trường số. Chính vì vậy, Đảng bộ EVNICT luôn thực hiện nghiêm các chỉ đạo của Đảng ủy tập đoàn và phối hợp với các đơn vị để đảm bảo phần mềm hoạt động ổn định, thông suốt, an toàn, an ninh bảo mật dựa trên ba yếu tố cốt lõi: Con người, công nghệ và quy trình.

Hàng năm, dưới sự chỉ đạo của EVN, EVNICT đã phối hợp với các đơn vị tổ chức đào tạo và nâng cao năng lực cho không chỉ đội ngũ làm công tác an toàn thông tin, công nghệ thông tin mà còn đào tạo nhận thức về an toàn thông tin cho toàn bộ cán bộ công nhân viên của EVN; tổ chức diễn tập an toàn thông tin cho các đơn vị, các tổng công ty, nhà máy điện, các công ty điện lực phân phối. Đồng thời đầu tư mạnh mẽ vào các giải pháp kỹ thuật tiên tiến để bảo vệ hạ tầng số, với trọng tâm là hệ thống Trung tâm Điều hành an ninh mạng (SOC) do chính EVN xây dựng và vận hành.

EVN cũng xây dựng khung quản lý rủi ro thông tin theo tiêu chuẩn ISO 27001, với các quy trình đánh giá rủi ro định kỳ hàng quý, bao gồm kiểm toán nội bộ và kiểm tra độc lập từ bên thứ ba, xây dựng và ban hành quy trình ứng phó sự cố một cách chi tiết, phân chia vai trò rõ ràng: Từ phát hiện, phân tích, khắc phục đến báo cáo hậu sự cố. Những hoạt động này đảm bảo an toàn, an ninh thông tin cho các hệ thống phần mềm dùng chung của EVN cũng như phần mềm “Sổ tay đảng viên điện tử và quản lý cán bộ, đảng viên” luôn hoạt động ổn định và an toàn.

“Đúng, đủ, sạch, sống, thống nhất, dùng chung”.

Xin đồng chí cho biết những việc làm cụ thể của Đảng bộ EVNICT để bảo đảm dữ liệu đảng viên trên môi trường số?

Đồng chí Nguyễn Minh Khiêm: Đảng ủy EVNICT xác định, bảo đảm an toàn thông tin, bảo mật dữ liệu và duy trì tính toàn vẹn của dữ liệu với các tiêu chí "đúng, đủ, sạch, sống, thống nhất, dùng chung" trong suốt quá trình cung cấp và sử dụng các thông tin của đảng trên phần mềm "Sổ tay đảng viên điện tử và quản lý cán bộ, đảng viên".

Đảng ủy EVNICT giao cho chi bộ Trung tâm An ninh thông tin bảo đảm an ninh mạng như: Bảo vệ dữ liệu, thực hiện các nghiệp vụ an ninh thông tin như giám sát an ninh thông tin, đánh giá an ninh thông tin, kiểm thử xâm nhập,... cho các phần mềm dùng chung của EVN. Đồng thời, giao cho Đảng bộ bộ phận Trung tâm Hạ tầng viễn thông và công nghệ thông tin đảm bảo cơ sở hạ tầng mạng khỏi các mối đe dọa như tấn công mạng, vi rút, phần mềm độc hại và các hành vi truy cập trái phép.

Thực hiện các biện pháp bảo mật để ngăn chặn các cuộc tấn công và xâm nhập trái phép vào hệ thống, bao gồm sử dụng tường lửa, phần mềm diệt virus và các công cụ bảo mật khác; thiết lập các cơ chế để phát hiện các hoạt động đáng ngờ và các cuộc tấn công mạng, tăng cường giám sát an ninh thông tin trong các dịp trọng đại của đất nước, đồng thời có các quy trình để ứng phó và xử lý các sự cố an ninh mạng.

Cụ thể, với phần mềm “Sổ tay đảng viên điện tử và quản lý cán bộ, đảng viên” của EVN được tích hợp tài khoản trong phần mềm quản lý nguồn nhân lực  của EVN (phần mềm HRMS) và có tên trong danh sách quản lý hồ sơ đảng viên của đơn vị.

Chúng tôi cũng khuyến cáo người dùng sử dụng mật khẩu mạnh và bảo mật tài khoản; cập nhật phần mềm liên tục để vá các lỗ hổng bảo mật; bảo mật kết nối mạng; đào tạo, hướng dẫn người dùng... EVNICT cam kết tiếp tục theo dõi, hoàn thiện các tính năng của phần mềm, hỗ trợ các đơn vị sử dụng, đồng thời đảm bảo tuyệt đối dữ liệu trên phần mềm.

- Như đồng chí đã chia sẻ, ba yếu tố cốt lõi trong việc đảm bảo an toàn, an ninh thông tin cho phần mềm “Sổ tay đảng viên điện tử và quản lý cán bộ, đảng viên” của EVN đó là con người, công nghệ và quy trình. Xin đồng chí nói rõ hơn về vấn đề này?

Đồng chí Nguyễn Minh Khiêm: Con người là yếu tố then chốt trong lĩnh vực an ninh mạng và an toàn thông tin, vì vậy EVN đã ưu tiên đào tạo và nâng cao năng lực cho không chỉ đội ngũ làm công tác an toàn thông tin, công nghệ thông tin mà còn đào tạo nhận thức về an toàn thông tin cho toàn bộ cán bộ công nhân viên của EVN, bao gồm các khóa học trực tuyến và trực tiếp về nhận diện tấn công phishing, quản lý mật khẩu an toàn, và ứng phó sự cố mạng.

Với đầu mối đảm bảo hệ thống hạ tầng công nghệ thông tin, viễn thông dùng riêng, các phần mềm dùng chung, an toàn, an ninh phục vụ công tác sản xuất kinh doanh điện năng của EVN, hàng năm, EVN định hướng và chỉ đạo EVNICT tổ chức diễn tập an toàn thông tin cho các đơn vị, các tổng công ty, nhà máy điện, các công ty điện lực phân phối nhằm nâng cao khả năng ứng phó xử lý sự cố cho đội ngũ làm công nghệ thông tin tại các đơn vị, nâng cao nhận thức của người dùng tại các đơn vị, từ đó đảm bảo công tác an toàn thông tin tại các đơn vị được tiến hành chặt chẽ, không gián đoạn, không xảy ra sự cố.

EVN cũng đầu tư mạnh mẽ vào các giải pháp kỹ thuật tiên tiến để bảo vệ hạ tầng số, với trọng tâm là hệ thống SOC do chính EVN xây dựng và vận hành. Hệ thống SOC này được thiết kế để giám sát toàn diện an toàn thông tin cho cả hệ thống công nghệ thông tin (IT) và hệ thống tự động hóa điều khiển (OT) của EVN cũng như Công ty TNHH Một thành viên Điều độ hệ thống điện và Thị trường điện quốc gia (NSMO) cùng các chi nhánh, đảm bảo sự tích hợp chặt chẽ giữa các lĩnh vực vận hành điện lực.

Hệ thống SOC EVN được xây dựng và đưa vào vận hành từ năm 2023, dựa trên nền tảng công nghệ hiện đại, và hoàn toàn do đội ngũ chuyên gia EVN vận hành, không phụ thuộc vào bên thứ ba, nhằm duy trì tính độc lập và bảo mật cao nhất. EVN đã tổ chức đội ngũ trực giám sát SOC EVN theo mô hình 3 ca 5 kíp trực, đảm bảo nhân sự vận hành luôn sẵn sàng xử lý cảnh báo từ hệ thống SOC, đặc biệt trong các dịp nghỉ lễ hoặc ứng trực thiên tai bão lũ để luôn đảm bảo hệ thống vận hành không bị gián đoạn.

Quy trình quản lý là nền tảng để đảm bảo tính nhất quán và hiệu quả. EVN xây dựng khung quản lý rủi ro thông tin theo tiêu chuẩn ISO 27001, với các quy trình đánh giá rủi ro định kỳ hàng quý, bao gồm kiểm toán nội bộ và kiểm tra độc lập từ bên thứ ba. EVN cũng đã xây dựng và ban hành quy trình ứng phó sự cố một cách chi tiết, phân chia vai trò rõ ràng: Từ phát hiện, phân tích, khắc phục đến báo cáo hậu sự cố.

Với độ phủ rộng khắp hệ thống IT và OT của EVN, hệ thống SOC EVN đã xử lý trung bình 10.000 sự kiện an toàn thông tin, 170 hành vi tấn công, phát hiện và ngăn chặn hơn 1000 virus/mã độc mỗi ngày. Ngoài ra hệ thống SOC EVN liên tục được tunning, cải tiến, để đáp ứng tốt với các hành vi tấn công mới ngày càng tinh vi trên không gian mạng.

- Đồng chí có kiến nghị gì để phần mềm “Sổ tay đảng viên điện tử và quản lý cán bộ, đảng viên” của EVN được sử dụng hiệu quả hơn, hữu ích hơn, an toàn hơn?

Đồng chí Nguyễn Minh Khiêm: Đảm bảo an toàn, hiệu quả khi sử dụng phần mềm không chỉ là trách nhiệm của EVNICT mà còn là trách nhiệm của người sử dụng. Nhận thức được điều này, song song với việc tăng cường các biện pháp đảm bảo an toàn thông tin, EVNICT đã và đang chú trọng phối hợp với Ban khoa học công nghệ và Chuyển đổi số EVN, các đơn vị cảnh báo, cung cấp các thông tin về an toàn thông tin cho người dùng như tuân thủ nghiêm ngặt các quy định, bảo vệ tài khoản cá nhân và thông tin nhạy cảm, đăng nhập và sử dụng ứng dụng trên các thiết bị được phép, giữ bí mật mật khẩu, sử dụng mật khẩu mạnh, xác thực hai yếu tố, chỉ chia sẻ thông tin khi cần thiết và tuân thủ hướng dẫn của tổ chức đảng cấp trên; tuyệt đối không chia sẻ thông tin nhạy cảm, mật khẩu hoặc thông tin cá nhân với người khác; thực hiện nghiêm túc các quy định và hướng dẫn về sử dụng ứng dụng phần mềm; liên hệ với cấp ủy hoặc tổ chức đảng cấp trên để được hướng dẫn cụ thể nếu có bất kỳ nghi ngờ nào về việc sử dụng ứng dụng; tham gia các buổi đào tạo và hướng dẫn sử dụng ứng dụng khi được tổ chức...

Đồng thời, EVNICT cũng kết hợp các biện pháp kỹ thuật và quy trình quản lý như mã hóa dữ liệu cả khi truyền đi (in transit) và khi lưu trữ (at rest) để bảo vệ thông tin khỏi bị truy cập trái phép; luôn cập nhật các bản vá lỗi và bản cập nhật bảo mật mới nhất cho hệ điều hành và phần mềm để khắc phục lỗ hổng; phân quyền truy cập dựa trên vai trò và nhu cầu công việc, giới hạn quyền truy cập vào thông tin nhạy cảm chỉ cho những người được phép; triển khai các thiết bị và hệ thống tường lửa để giám sát và ngăn chặn các hoạt động mạng độc hại; tổ chức các buổi đào tạo định kỳ về an ninh mạng, hướng dẫn người dùng nhận biết các nguy cơ như email lừa đảo (phishing), các liên kết độc hại, và cách phòng tránh; ban hành các chính sách và quy trình bảo mật rõ ràng, bao gồm quy định về việc sử dụng, chia sẻ và bảo vệ thông tin trong phần mềm; xây dựng quy trình sao lưu dữ liệu thường xuyên và kiểm tra khả năng phục hồi để có thể khôi phục dữ liệu trong trường hợp xảy ra sự cố; thực hiện các cuộc kiểm tra an ninh (penetration testing) và đánh giá lỗ hổng thường xuyên để phát hiện và xử lý các điểm yếu; nâng cao cảnh giác với các hình thức lừa đảo trên mạng, không chia sẻ thông tin cá nhân, và cẩn thận khi mở các tệp đính kèm hoặc nhấp vào liên kết lạ.

Với những biện pháp trên, EVNICT cam kết nỗ lực đảm bảo an toàn an ninh bảo mật cho phần mềm nhằm đưa công tác đảng lên môi trường số an toàn, hiệu quả theo chỉ đạo của Đảng bộ tập đoàn, góp phần đưa EVN trở thành doanh nghiệp thông minh vào năm 2030.

Xin trân trọng cảm ơn đồng chí!