HIỆP HỘI AN TOÀN THÔNG TIN VIỆT NAM

Quy tắc đạo đức nghề nghiệp an toàn thông tin

BỘ QUY TẮC ĐẠO ĐỨC NGHỀ NGHIỆP AN TOÀN THÔNG TIN
(Ban hành kèm theo quyết định số 05/2015/QĐ-HH ký ngày 30 tháng 01 năm 2015)

 

CHƯƠNG 1: CÁC ĐIỀU KHOẢN CHUNG

Điều 1. Mục tiêu bản qui tắc

Bản qui tắc Đạo đức nghề An toàn thông tin (ATTT) có mục tiêu nhằm hướng dẫn các tổ chức, cá nhân hành nghề cung cấp dịch vụ ATTT một cách chính trực, trọng danh dự và tin cậy.

Điều 2. Phạm vi hiệu lực bản qui định

Quy tắc đạo đức nghề ATTT là những qui định dành cho các tổ chức, cá nhân hành nghề ATTT, cung cấp các dịch vụ ATTT cho các cá nhân/tổ chức khác.

Bản qui tắc Đạo đức nghề ATTT là bổ sung, phối hợp và không mâu thuẫn với các qui định có tính pháp lý của Việt nam và những qui định quốc tế được Việt nam công nhận.

CHƯƠNG 2: CÁC QUY ĐỊNH ĐẠO ĐỨC NGHỀ ATTT

Điều 3. Với Xã hội, cộng đồng: Bảo vệ các Hệ Công nghệ thông tin (CNTT) của xã hội, của tổ chức và cá nhân

  1. Không thực hiện hành vi gây hại đến hệ thống CNTT của toàn xã hội, của các tổ chức và mỗi cá nhân.
  2. Nỗ lực làm tăng niềm tin, sự tin cậy và đóng góp xây dựng cộng đồng ATTT.

Điều 4. Về thái độ hành nghề: Thực thi công việc một cách đúng pháp luật, minh bạch, trung thực và đúng đắn

  1. Luôn nói thật.
  2. Luôn rõ ràng, công khai minh bạch công việc của mình với các bên có liên quan vào thời điểm thích hợp. Không có hành vi dấu diếm, gian dối trong khi hành nghề ATTT.
  3. Luôn trung thực, khách quan, đúng đắn khi lượng giá, khi đưa ra các quyết định trong khi hành nghề ATTT.
  4. Luôn đảm bảo tính bí mật, tính toàn vẹn của thông tin của cá nhân/tổ chức hình thành trong quá trình hành nghề trước, trong và sau khi công việc hoàn thành.

 Điều 5. Với chất lượng dịch vụ: Tận tâm cung ứng dịch vụ ATTT chính xác, chuyên nghiệp và bảo đảm nhất cho cá nhân/tổ chức khác

  1. Tận tâm với cá nhân/tổ chức mà mình phục vụ. Tất cả để làm An toàn hơn hệ thống của cá nhân/tổ chức mà mình cung ứng dịch vụ.
  2. Không lạm dụng sự tín nhiệm của cá nhân/tổ chức dành cho mình.
  3. Luôn tránh mâu thuẫn quyền lợi khi có thể. Khi không tránh được mâu thuẫn quyền lợi, ưu tiên lợi ích của cá nhân/tổ chức mình phục vụ trên lợi ích của bản thân.
  4. Luôn cân nhắc sự phù hợp khả năng chuyên môn của bản thân với dịch vụ cung ứng.

 Điều 6. Với nghề ATTT: Nâng cao trình độ bản thân, nỗ lực phát triển nghề ATTT trong cộng đồng

  1. Hợp tác, giúp đỡ với những người tuân thủ Đạo đức nghề ATTT. Không liên kết, hợp tác với những người vi phạm Đạo đức nghề ATTT.
  2. Nâng cao trình độ bản thân để cung ứng dịch vụ ngày một chất lượng cho cá nhân/tổ chức/cộng đồng
  3. Luôn chú ý phát triển, mở rộng nghề ATTT.

CHƯƠNG 3: ĐIỀU KHOẢN THI HÀNH

 Điều 7: Tổ chức, cá nhân vi phạm một trong các điều khoản về đạo đức hành nghề ATTT sau đây sẽ bị Hiệp hội ATTT Việt nam (VNISA) lên án và công bố rộng rãi trong cộng đồng nghề ATTT Việt nam và các Hiệp hội ATTT quốc tế.

Điều 8: Quy định này gồm 3 chương 8 điều và có hiệu lực kể từ ngày Chủ tịch Hiệp hội ATTT Việt Nam (VNISA) ký ban hành.

 PHỤ LỤC: Những câu hỏi thường gặp (FAQ) đối với Đạo đức nghề ATTT

  1. Ai là đối tượng mà đạo đức nghề ATTT có mục đích hiệu chỉnh hành vi?

Các tổ chức, doanh nghiệp, cá nhân hành nghề bằng cách cung cấp dịch vụ liên quan tới ATTT cho tổ chức/cá nhân khác là đối tượng hiệu chỉnh hành vi của Đạo đức nghề ATTT.

  1. Một cá nhân/tổ chức thông báo nguy cơ ATTT quá với mức độ thực tế thì có vi phạm đạo đức nghề ATTT hay không ?

Có. Một cá nhân/tổ chức nói quá một cách có ý thức nguy cơ ATTT cho cá nhân/tổ chức khác là vi phạm điều số 4.a, 4.c, 5.c Đạo đức nghề ATTT.

  1. Một cá nhân/tổ chức gây ra sự cố để người ta phải thuê mình bảo vệ hoặc sử dụng dịch vụ của mình có vi phạm đạo đức nghề ATTT hay không ?

Có. Mọi hành vi như xâm nhập, thay đổi nội dung thông tin, phá huỷ thông tin của một cá nhân/tổ chức khác để người ta phải sử dụng dịch vụ của mình cung cấp là vi phạm điều 3.a, 5.c của Đạo đức nghề ATTT.

  1. Một cá nhân/tổ chức không giúp đỡ đồng nghiệp tiến bộ với mục tiêu duy trì lợi thế cạnh tranh của mình trên thương trường có vi phạm đạo đức nghề ATTT hay không ?

Có. Cá nhân/tổ chức có quyền giữ bí mật các bí quyết, sáng chế của mình để kinh doanh. Tuy nhiên, các hành vi như không chia sẻ tri thức mở/công cộng với người khác, không tạo cơ hội giúp đỡ đồng nghiệp như đồng nghiệp khác đã giúp mình với mục đích có lợi thế cạnh tranh trên thương trường là vi phạm điều 6.a, 6.c của Đạo đức nghề ATTT.

  1. Một cá nhân/tổ chức công bố quá đáng khả năng của mình trong ATTT có vi phạm đạo đức nghề ATTT hay không ?

Có. Cá nhân/tổ chức công bố, tuyên truyền về những kỹ năng mà mình không có, về những bằng cấp chứng chỉ mà mình đạt được quá với thực tế của mình là vi phạm điều 4.a của Đạo đức nghề ATTT.

  1. Một cá nhân/tổ chức thực thi nghề ATTT khi có xung khắc quyền lợi có vi phạm đạo đức nghề ATTT hay không ?

Xung khắc quyền lợi là khi Cá nhân/tổ chức bị ảnh hưởng bởi quyền lợi liên quan tới mình khi đưa ra một quyết định liên quan tới đối tượng khác.

Khi hành nghề ATTT, cá nhân, tổ chức cần tránh để rơi vào tình trạng xung khắc quyền lợi. Nếu phát hiện xảy ra xung khắc quyền lợi mà không hiệu chỉnh được thì phải để quyền lợi của mình ở mức ưu tiên thấp nhất. Trong trường hợp biết trước có xung khắc quyền lợi (ví dụ tư vấn để người khác mua sản phẩm mà mình được hưởng lợi) mà vẫn thực thi công việc thì là vi phạm điều 5.c của Đạo đức nghề ATTT.

  1. Sử dụng phần mềm bẻ khoá hay sao chép có vi phạm đạo đức nghề ATTT hay không ?

Không. Hành vi vi phạm bản quyền, vi phạm các luật sở hữu trí tuệ bị xử lý bởi các qui định, luật pháp khác và không nằm trong phạm vi điều chỉnh của Đạo đức nghề ATTT.

  1. Một người trong quá trình hành nghề phát hiện một sơ hở của hệ thống có ảnh hưởng rộng lớn và công bố thông tin để mọi người biết thì có vi phạm đạo đức nghề ATTT hay không ?

Có. Khi người hành nghề ATTT phát hiện lỗi có khả năng làm ảnh hưởng tới nhiều hệ thống mà công bố rộng rãi ngay thì có thể sẽ làm cho nhiêu hệ thống trở nên nguy hiểm, bị tấn công. Việc công bố lỗi hệ thống phải thận trọng và cần tuân thủ theo qui trình đã thành thông lệ như báo cho nhà sản xuất, phối hợp thời gian công bố với thời điểm có bản vá của nhà sản xuất và công bố rộng rãi để Cộng đồng biết và phòng ngừa. Việc công bố quá sớm sơ hở là một hành vi thiếu thận trọng và có thể làm suy yếu khả năng bảo mật, làm rối loạn hệ thống mạng của cộng đồng và vi phạm điều 3.a, 3.b của Đạo đức nghề ATTT.

  1. Một người đả kích, nói xấu với đồng nghiệp có vi phạm đạo đức nghề ATTT hay không ?

Có. Cá nhân/tổ chức hành nghề ATTT không được chèn ép, sử dụng các biện pháp không chính thống để làm giảm uy tín đồng nghiệp. Hành vi tìm cách hạ thấp uy tín đồng nghiệp vi phạm điều 6.a, 6.c của Đạo đức nghề ATTT.

10. Một người không học hỏi, nâng cao trình độ ATTT trong quá trình hành nghề ATTT có vi phạm đạo đức nghề ATTT hay không ?

Có. Không cập nhật kiến thức trong quá trình hành nghề để đưa ra dịch vụ tốt nhất, đáng tin cậy nhất cho cá nhân/tổ chức khác là vi phạm điều 6.b của Đạo đức nghề ATTT.

11. Một người vi phạm cam kết không tiết lộ bí mật (NDA) với tổ chức của mình có vi phạm Đạo đức nghề ATTT hay không ?

Có. Nhân viên phụ trách ATTT cho một tổ chức có thể coi là người cung cấp dịch vụ, là hành nghề ATTT cho tổ chức của mình.

Vi phạm NDA giữa cá nhân và tổ chức của mình vi phạm điều 4.d của Đạo đức nghề ATTT.

12. Một người khi đánh giá ATTT không cố gắng tìm ra hết điểm yếu của hệ thống CNTT của cá nhân/tổ chức mà mình cung ứng dịch vụ có vi phạm Đạo đức nghề ATTT hay không ?

Có. Khi cung ứng dịch vụ, cần tận tâm với công việc và xứng đáng với niềm tin của khách hàng trao phó cho mình. Sự xao nhãng, không chuyên cần, không nỗ lực với công việc vi phạm điều 5.a của Đạo đức nghề ATTT.

13. Một người sử dụng mật khẩu để kết nối vào hệ thống nằm ngoài phạm vi dịch vụ đã thống nhất với cá nhân/tổ chức khách hàng có vi phạm Đạo đức nghề ATTT hay không ?

Có. Hành vi sử dụng mật khẩu được cấp để kết nối hệ thống khác là lạm dụng sự tín nhiệm và vi phạm điều 5.b của Đạo đức nghề ATTT.

14. Một người chưa có chứng chỉ hoặc có chứng chỉ nhưng đã hết hiệu lực nhưng ghi là có chứng chỉ trong hồ sơ của mình thì có vi phạm Đạo đức nghề ATTT hay không ?

Không. Hành vi gian lận trong thông tin về chứng chỉ của mình, kể cả chứng chỉ về ATTT, không nằm trong lĩnh vực hành nghề ATTT, cho nên nằm ngoài phạm vi điều chỉnh của Đạo đức nghề ATTT. Hành vi này được điều chỉnh bằng các luật khác.

15. Một người thực hiện tìm kiếm sơ hở của hệ thống CNTT mà người phụ trách hệ thống đó không biết có vi phạm Đạo đức nghề ATTT hay không ?

Có. Tìm kiếm sơ hở là một hoạt động trong nghề ATTT. Việc này cần thực hiện một cách rõ ràng (tìm kiếm cái gì, hệ thống nào), minh bạch (có thoả thuận rõ trước khi tìm kiếm sơ hở) trước khi (không phải là sau khi đã bắt đầu làm) thực hiện. Nếu thực hiện tìm kiếm sơ hở mà người phụ trách hệ thống đích không biết thì đó là hành vi dấu diếm hoạt động và vi phạm điều 4.b của Đạo đức nghề ATTT.

16. Căn cứ vào đâu để biết một cá nhân/tổ chức vi phạm đạo đức nghề ATTT?

Cộng đồng, đồng nghiệp, khách hàng là những cá nhân, tổ chức phát hiện ra những vi phạm Đạo đức nghề ATTT của một cá nhân/tổ chức khác. Những phát hiện này là những căn cứ đầu tiên để cộng đồng nghề ATTT, mà đại diện là VNISA, tiến hành xem xét đánh giá về vấn đề vi phạm hay không Đạo đức nghề ATTT của một cá nhân/tổ chức.

17. Khi một cá nhân/tổ chức bị tố cáo, bị có nghi ngờ vi phạm Đạo đức nghề ATTT thì VNISA sẽ làm gì ?

Một khi VNISA nhận được than phiền, tố cáo của khách hàng, của đồng nghiệp hay của cộng đồng về những hành vi có khả năng vi phạm Đạo đức nghề ATTT thì Hiệp hội VNISA sẽ ra quyết định thành lập Ban kỷ luật của VNISA để đánh giá vụ việc. Ban kỷ luật của VNISA bao gồm những cá nhân hiểu biết về nghề ATTT, có đạo đức và có trách nhiệm cá nhân với quyết định của mình sẽ xem xét kỹ lưỡng các thông tin liên quan. Trong trường hợp Ban kỷ luật khẳng định có sự vi phạm đạo đức nghề ATTT thì VNISA sẽ đưa ra các biện pháp phù hợp với vi phạm. Các biện pháp có thể là nhắc nhở, cảnh báo hoặc thông báo rộng rãi trên các phương tiện truyền thông về cá nhân/tổ chức có vi phạm. Việc xem xét đánh giá trên cũng phải tuân thủ theo Đạo đức nghề ATTT.