Công văn 2325/BNV-VP năm 2024 hướng dẫn một số yêu cầu chức năng cơ bản của hệ thống quản lý cán bộ, công chức, viên chức trong các cơ quan nhà nước do Bộ Nội vụ ban hành

Số hiệu 2325/BNV-VP
Ngày ban hành 26/04/2024
Ngày có hiệu lực 26/04/2024
Loại văn bản Công văn
Cơ quan ban hành Bộ Nội vụ
Người ký Phạm Thị Thanh Trà
Lĩnh vực Bộ máy hành chính

BỘ NỘI VỤ
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 2325/BNV-VP
V/v hướng dẫn một số yêu cầu chức năng cơ bản của hệ thống quản lý CBCCVC trong các cơ quan nhà nước

Hà Nội, ngày 26 tháng 4 năm 2024

 

Kính gửi:

- Tòa án nhân dân tối cao;
- Viện Kiểm sát nhân dân tối cao;
- Văn phòng Chủ tịch nước;
- Văn phòng Quốc hội;
- Kiểm toán Nhà nước;
- Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ;
- UBND các tỉnh, thành phố trực thuộc Trung ương.

Thực hiện Quyết định số 893/QĐ-TTg ngày 25/6/2020 của Thủ tướng Chính phủ phê duyệt Đề án xây dựng Cơ sở dữ liệu quốc gia về Cán bộ, công chức, viên chức (CBCCVC) trong các cơ quan nhà nước, Bộ Nội vụ hướng dẫn một số yêu cầu, chức năng cơ bản của hệ thống quản lý CBCCVC trong các cơ quan nhà nước làm cơ sở để các bộ, ngành và địa phương (sau đây gọi tắt là BNĐP) tổ chức xây dựng, vận hành và khai thác hệ thống quản lý CBCCVC bảo đảm hiệu quả, thống nhất, tránh lãng phí, cụ thể như sau:

1. Việc thiết kế mô hình hệ thống quản lý CBCCVC của các BNĐP bảo đảm tuân thủ theo quy định tại điểm b, mục 1, khoản III, Điều 1, Quyết định số 893/QĐ-TTg ngày 25/6/2020 của Thủ tướng Chính phủ và đảm bảo đủ các trường thông tin được quy định tại mẫu Sơ yếu lý lịch ban hành kèm theo Thông tư số 06/2023/TT-BNV ngày 04/05/2023 của Bộ trưởng Bộ Nội vụ; đồng thời tuân thủ quy định về Khung Kiến trúc Chính phủ điện tử Việt Nam và Kiến trúc Chính phủ điện tử cấp bộ/Kiến trúc Chính quyền điện tử cấp tỉnh hiện hành.

2. Về chức năng của hệ thống quản lý CBCCVC của các BNĐP bảo đảm tuân thủ theo quy định tại điểm b và điểm đ, mục 2, khoản III, Điều 1, Quyết định số 893/QĐ-TTg ngày 25/6/2020 của Thủ tướng Chính phủ; đồng thời bảo đảm kết nối chia sẻ dữ liệu theo Quyết định số 356/QĐ-BNV ngày 17/05/2023 của Bộ trưởng Bộ Nội vụ.

3. Việc kết nối, chia sẻ dữ liệu giữa hệ thống quản lý CBCCVC của các BNĐP với CSDLQG về CBCCVC được thực hiện thông qua nền tảng tích hợp, chia sẻ dữ liệu quốc gia (NDXP) theo quy định tại Nghị định số 47/2020/NĐ-CP ngày 09/4/2020 của Chính phủ về quản lý, kết nối, chia sẻ dữ liệu số của cơ quan nhà nước và theo hướng dẫn tại Văn bản số 677/BTTTT-THH ngày 03/3/2022 của Bộ Thông tin và Truyền thông.

4. Hệ thống quản lý CBCCVC phải bảo đảm an toàn thông tin trong hoạt động vận hành, kết nối, chia sẻ dữ liệu cấp độ 3 quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ; Thông tư số 12/2022/TT-BTTT ngày 12/08/2022 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ trước khi đưa vào vận hành, khai thác, sử dụng; Quyết định số 742/QĐ-BTTTT ngày 22/4/2022 của Bộ Thông tin và Truyền thông ban hành yêu cầu cơ bản đối với phần mềm nội bộ và Văn bản số 677/BTTT-THH ngày 03/03/2022 của Bộ Thông tin và Truyền thông về việc hướng dẫn kết nối và chia sẻ dữ liệu thông qua Nền tảng tích hợp, chia sẻ dữ liệu quốc gia.

5. Căn cứ hướng dẫn chi tiết trong Phụ lục kèm theo Văn bản này và quy định tại mục 8 và mục 9, khoản VI, Điều 1, Quyết định số 893/QĐ-TTg ngày 25/6/2020 của Thủ tướng Chính phủ, các BNĐP (trừ Bộ Công an và Bộ Quốc phòng) tổ chức triển khai thực hiện bảo đảm hoàn thành trong Quý III/2024.

6. Ngoài các yêu cầu chức năng cơ bản của hệ thống nêu trên, căn cứ vào chức năng, nhiệm vụ và yêu cầu quản lý CBCCVC, các BNĐP có thể mở rộng thêm chức năng để đảm bảo hệ thống quản lý CBCCVC hoạt động thường xuyên, liên tục, ổn định và dữ liệu “Đúng - Đủ - Sạch - Sống”.

Bộ Nội vụ đề nghị các BNĐP khẩn trương tổ chức triển khai thực hiện để đưa CSDLQG về CBCCVC vào sử dụng, khai thác có hiệu quả theo yêu cầu của Chính phủ và Thủ tướng Chính phủ./.

 


Nơi nhận:
- Như trên;
- Thủ tướng Chính phủ (để báo cáo);
- Phó Thủ tướng Trần Hồng Hà (để báo cáo);
- Phó Thủ tướng Trần Lưu Quang (để báo cáo);
- Bộ Công an (để phối hợp);
- Ủy ban Giám sát Tài chính quốc gia;
- Đại học Quốc gia Hà Nội;
- Đại học Quốc gia TP HCM;
- Ủy ban quốc gia về ATGT;
- Cục Cảnh sát quản lý hành chính và trật tự xã hội; 
- Vụ/Ban TCCB các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ (để thực hiện);
- Sở Nội vụ các tỉnh, tp trực thuộc TW (để thực hiện);
- Bộ Nội vụ: Bộ trưởng; các đ/c Thứ trưởng; Vụ CCVC; Trung tâm Thông tin; TCT06/BNV;
- Lưu: VT, VP (VTLT&KSTTHC).

BỘ TRƯỞNG




Phạm Thị Thanh Trà

 

PHỤ LỤC

(Ban hành kèm theo Công văn số 2325/BNV-VP ngày 26 tháng 4 năm 2024 của Bộ Nội vụ)

I. THUẬT NGỮ, VIẾT TẮT

Thuật ngữ, viết tắt

Mô tả

CBCCVC

Cán bộ, công chức, viên chức

CSDLQG

Cơ sở dữ liệu Quốc gia

BNĐP

Bộ, ngành, địa phương

II. YÊU CẦU CHỨC NĂNG, HIỆU NĂNG VÀ AN TOÀN THÔNG TIN 

2.1. Tiêu chí chức năng

TT

Yêu cầu

Mô tả

Bắt buộc

1

Quản lý danh mục

Đảm bảo danh mục trên hệ thống quản lý CBCCVC của BNĐP đáp ứng đủ các danh mục trên hệ thống CSDLQG về CBCCVC (quy định tại Quyết định 356/QĐ-BNV ngày 17/05/2023 của Bộ trưởng Bộ Nội vụ ban hành cấu trúc mã định danh và định dạng dữ liệu gói tin phục vụ kết nối, chia sẻ dữ liệu CSDLQG về CBCCVC, viên chức trong các cơ quan nhà nước.)

x

2

Tích hợp chữ ký số (Dành cho CBCCVC)

CBCCVC thực hiện ký số trước khi gửi yếu lý lịch bổ sung đến Cán bộ phụ trách công tác quản lý cán bộ để đảm bảo thông tin kê khai đúng, đủ, sạch

 

3

Khai báo dữ liệu

Lập và gửi dữ liệu hoặc cập nhật, bổ sung thông tin CBCCVC theo yêu cầu.

x

Thực hiện ký số khi gửi dữ liệu đến Cán bộ phụ trách công tác quản lý cán bộ

 

Trích xuất thông tin CBCCVC

 

Xem lịch sử cập nhật, bổ sung thông tin CBCCVC

 

Xét duyệt (duyệt/từ chối) dữ liệu của CBCCVC

 

4

Quản lý dữ liệu CBCCVC 

Dữ liệu CBCCVC đảm bảo đủ các trường thông tin (quy định tại Thông tư số 06/2023/TT-BNV ngày 04/05/2023)

x

Quản lý danh sách dữ liệu CBCCVC, tra cứu thông tin

x

Thêm/Sửa/Xóa dữ liệu

x

Trích xuất, in mẫu sơ yếu lý lịch theo quy định

x

Nhập, trích xuất nhiều dữ liệu hàng loạt

 

5

Đồng bộ dữ liệu lên CSDLQG về CBCCVC

Hệ thống xây dựng đảm bảo kết nối tuân thủ theo Quyết định 356/QĐ-BNV.

x

Ký số phê duyệt dữ liệu (sử dụng chữ ký số do Ban cơ yếu chính phủ cung cấp) và thực hiện đồng bộ lên CSDLQG về CBCCVC (Tài liệu đặc tả hướng dẫn ký số kèm theo)

x

Quản lý danh sách dữ liệu đã đồng bộ, chưa đồng bộ, tra cứu thông tin

 

Xây dựng biểu đồ thống kê:

Tình trạng đồng bộ dữ liệu theo đơn vị

Tình trạng đồng bộ dữ liệu theo cá nhân CBCCVC

Chi tiết tình trạng đồng bộ dữ liệu

 

Theo dõi lịch sử đồng bộ dữ liệu

 

Trích xuất danh sách dữ liệu đã đồng bộ, chưa đồng bộ lên CSDLQG về CBCCVC

 

6

Biểu đồ/Báo cáo thống kê

Đáp ứng các báo cáo về CBCCVC được quy định tại thông tư 02/2023/TT-BNV ban hành ngày 23/03/2023

x

Xây dựng biểu đồ thống kê nhanh: 

Thống kê theo cơ cấu CBCCVC 

Thống kê số lượng biên chế thực tế 

Thống kê theo độ tuổi 

Thống kê theo giới tính 

Thống kê theo trình độ chuyên môn 

Thống kê theo giới tính 

Thống kê theo lý luận chính trị

Thống kê theo quản lý nhà nước

Thống kê theo Đảng viên 

Thống kê theo dân tộc 

Thống kê theo tôn giáo

Thống kê dữ liệu CBCCVC chưa hoàn thiện của đơn vị thuộc, trực thuộc

 

7

Cảnh báo, nhắc việc

Nhắc việc CBCCVC sắp hết thời hạn bổ nhiệm

 

Nhắc việc CBCCVC sắp được nâng bậc lương thường xuyên

 

Nhắc việc CBCCVC sắp được nâng phụ cấp thâm niên vượt khung

 

Nhắc việc CBCCVC sắp được nâng phụ cấp thâm niên nghề

 

Nhắc việc CBCCVC sắp hết hạn luân chuyển

 

Nhắc việc CBCCVC sắp nghỉ hưu

 

Nhắc việc CBCCVC đã đến thời điểm nghỉ hưu

 

Nhắc việc người lao động sắp hết hạn hợp đồng

 

Nhắc việc người lao động sắp được nâng bậc lương thường xuyên (trường hợp áp dụng tiền lương theo bảng lương của CCVC)

 

Nhắc việc CBCCVC có chứng chỉ sắp hết hạn

 

CBCCVC dự kiến được nâng bậc lương trước thời hạn do lập thành tích xuất sắc

 

8

Tìm kiếm, khai thác thông tin CBCCVC

Tra cứu thông tin CBCCVC trong cơ quan, đơn vị và trong đơn vị thuộc, trực thuộc (nếu có)

 

Trích xuất danh sách kết quả tìm kiếm

 

In sơ yếu lý lịch theo mẫu quy định

 

9

Quản lý người lao động (hợp đồng một số loại công việc trong cơ quan hành chính và đơn vị sự nghiệp công lập)

Quản lý danh sách người lao động hợp đồng, tra cứu thông tin người lao động hợp đồng

 

Thêm/Sửa/Xóa dữ liệu người lao động hợp đồng, nhân bản hợp đồng

 

Chấm dứt hợp đồng

 

Gia hạn hợp đồng

 

Trích xuất, in danh sách hợp đồng

 

10

Quản lý tuyển dụng/tiếp nhận vào công chức, viên chức

Quản lý danh sách CCVC được tuyển dụng (kỳ thi/xét tuyển; hội đồng thi/xét tuyển; hình thức thi/xét tuyển; các nguyện vọng, vị trí việc làm trúng tuyển; cơ quan, đơn vị tuyển dụng;...)

 

Quản lý danh sách CCVC được tiếp nhận vào làm công chức, viên chức (hội đồng kiểm tra, sát hạch; cơ quan, đơn vị tiếp nhận; vị trí việc làm; chức danh/chức vụ lãnh đạo, quản lý được bổ nhiệm; quá trình công tác trước đó là cơ sở để xếp lương sau khi tiếp nhận;...); thiết lập các tiêu chuẩn, điều kiện tiếp nhận

 

Thêm/Sửa/Xóa dữ liệu tuyển dụng/tiếp nhận CCVC

 

Trích xuất, in danh sách tuyển dụng/tiếp nhận

 

Cập nhật dữ liệu tuyển dụng/tiếp nhận CCVC lên CSDLQG về CBCCVC

 

File đính kèm (quyết định tuyển dụng/tiếp nhận, bổ nhiệm chức danh lãnh đạo, quản lý)

 

11

Quản lý thi đua, khen thưởng

Quản lý danh sách thi đua (xếp loại chất lượng CBCCVC, xếp loại thi đua), khen thưởng CBCCVC (hình thức khen thưởng, cấp quyết định, quyết định khen thưởng), tra cứu

 

Thêm/Sửa/Xóa dữ liệu thi đua, khen thưởng CBCCVC

 

Trích xuất, in danh sách thi đua, khen thưởng CBCCVC

 

Cập nhật dữ liệu thi đua, khen thưởng CBCCVC lên CSDLQG về CBCCVC

 

File đính kèm (quyết định xếp loại chất lượng, thi đua, khen thưởng, giấy khen, bằng khen,...)

 

12

Quản lý kỷ luật

Quản lý danh sách kỷ luật CBCCVC (hình thức kỷ luật Đảng/hành chính, hành vi vi phạm chính, cơ quan quyết định, quyết định kỷ luật), tra cứu

 

Thêm/Sửa/Xóa dữ liệu kỷ luật CBCCVC

 

Trích xuất, in danh sách kỷ luật CBCCVC

 

Cập nhật dữ liệu kỷ luật CBCCVC lên CSDLQG về CBCCVC

 

File đính kèm (quyết định kỷ luật)

 

13

Quản lý nâng ngạch, thăng hạng

Quản lý cơ cấu ngạch công chức, hạng chức danh nghề nghiệp viên chức; thiết lập tiêu chuẩn, điều kiện nâng ngạch, thăng hạng

 

Quản lý danh sách CBCCVC đủ tiêu chuẩn, điều kiện nâng ngạch, thăng hạng

 

Quản lý danh sách CBCCVC được nâng ngạch, thăng hạng (trúng tuyển kỳ thi/xét nâng ngạch, xét thăng hạng; quyết định bổ nhiệm ngạch, hạng chức danh nghề nghiệp và xếp lương)

 

Thêm/Sửa/Xóa dữ liệu nâng ngạch, thăng hạng CBCCVC

 

Trích xuất, in cơ cấu ngạch công chức, hạng chức danh nghề nghiệp viên chức; danh sách CBCCVC đủ tiêu chuẩn, điều kiện nâng ngạch, thăng hạng; danh sách CBCCVC được nâng ngạch, thăng hạng

 

Cập nhật dữ liệu nâng ngạch, thăng hạng CBCCVC lên CSDLQG về CBCCVC

 

File đính kèm

 

14

Quản lý quá trình lương

Quản lý danh sách quyết định lương, danh sách trả lương, tra cứu

 

Thêm/Sửa/Xóa thông tin quá trình lương

 

Thêm/Sửa/Xóa CBCCVC trong quyết định lương, danh sách trả lương

 

Trích xuất danh sách quyết định lương, danh sách trả lương

 

Cập nhật dữ liệu quá trình lương lên CSDLQG về CBCCVC

 

15

Quản lý quy hoạch cán bộ

Quản lý nhiệm kỳ quy hoạch, các đợt rà soát, bổ sung quy hoạch; thiết lập tiêu chí quy hoạch

 

Quản lý CBCCVC được quy hoạch theo nhiệm kỳ, đưa ra khỏi quy hoạch, được bổ sung vào quy hoạch các chức vụ, chức danh lãnh đạo, quản lý; thêm/sửa/xoá CBCCVC trong dữ liệu về quy hoạch

 

Trích xuất, in danh sách CBCCVC được quy hoạch theo nhiệm kỳ, các đợt rà soát, bổ sung

 

Cập nhật dữ liệu về quy hoạch lên CSDLQG về CBCCVC

 

16

Quản lý đào tạo, bồi dưỡng

Quản lý danh sách các khoá đào tạo, chương trình bồi dưỡng, tra cứu

 

Thêm/Sửa/Xoá khoá đào tạo, chương trình bồi dưỡng

 

Quản lý CBCCVC được cử đi học; tổng thời gian đi bồi dưỡng (tuần/năm)

 

Trích xuất, in danh sách CBCCVC, quyết định cử đi học

 

Cập nhật kết quả đào tạo, bồi dưỡng lên CSDLQG về CBCCVC

 

File đính kèm (văn bằng, chứng chỉ)

 

17

Luồng quy trình điều chuyển, tiếp nhận

Quản lý danh sách CBCCVC điều chuyển (bao gồm cả điều động, luân chuyển)/tiếp nhận

 

Điều chuyển/Tiếp nhận CBCCVC

 

Hủy điều chuyển/tiếp nhận

 

Trích xuất, in danh sách CBCCVC điều chuyển/tiếp nhận, quyết định điều chuyển/tiếp nhận

 

File đính kèm (quyết định điều chuyển/tiếp nhận)

 

Cập nhật dữ liệu về điều động/tiếp nhận lên CSDLQG về CBCCVC

 

18

Luồng quy trình lập, xét duyệt báo cáo

Đơn vị thuộc, trực thuộc lập và gửi báo cáo lên cơ quan, đơn vị có thẩm quyền quản lý

 

Đơn vị có thẩm quyền quản lý xét duyệt và tổng hợp báo cáo

 

19

Luồng quy trình nghỉ hưu

Lập danh sách nghỉ hưu thuộc phạm vi quản lý

Quản lý danh sách CBCCVC nghỉ hưu, tra cứu

Thêm/Sửa/Xoá CBCCVC trong danh sách nghỉ hưu

Thông báo nghỉ hưu cho CBCCVC 

Ra quyết định nghỉ hưu 

In thông báo, quyết định nghỉ hưu

Cập nhật dữ liệu nghỉ hưu của CBCCVC lên CSDLQG về CBCCVC

 

20

Xác thực thông tin tài khoản người dùng.

Xác thực thông tin tài khoản người sử dụng phần mềm thông qua đăng nhập bằng tài khoản định danh điện tử (VNeID), liên kết SSO (Single sign-on) với Hệ thống định danh và xác thực điện tử do Bộ Công an cung cấp.

(Thông tin chi tiết liên hệ qua Đ/c Trung uý Đào Phan Khải, Sđt 0586609827 - Cán bộ Trung tâm dữ liệu quốc gia về dân cư, Cục Cảnh sát quản lý hành chính về trật tự xã hội).

 

2.2. Tiêu chí hiệu năng

TT

Nhóm tiêu chí

Tiêu chí

1

Thời gian phản hồi trung bình

Hệ thống có thời gian phản hồi trung bình dưới 500 Mili giây không bao gồm các luồng mang tính chất thống kê, báo cáo (thời gian phản hồi được tính từ khi người sử dụng gửi yêu cầu đáp ứng tới hệ thống cho đến khi nhận được dữ liệu phản hồi từ hệ thống)

2

Thời gian phản hồi chậm nhất

Hệ thống có thời gian phản hồi chậm nhất dưới 30 giây đối với toàn bộ các thao tác trên toàn trang.

3

Truy cập đồng thời

Hệ thống có khả năng đáp ứng ít nhất 10% trên tổng số CBCCVC của đơn vị truy cập đồng thời hoặc theo yêu cầu của bộ/tỉnh cụ thể.

4

Số người sử dụng hoạt động đồng thời

Hệ thống có khả năng đáp ứng ít nhất 5% trên tổng số CBCCVC của đơn vị sử dụng đồng thời (Mức độ hoạt động tương tự người sử dụng đã sử dụng thành thạo hệ thống).

2.3. Tiêu chí bảo đảm an toàn thông tin tối thiểu cần có

Hệ thống quản lý CBCCVC cần triển khai phương án an toàn thông tin cấp độ 3 quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ, thông tư 12/2022/TT-BTTT ngày 12/08/2022 quy định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày 01/07/2016 về đảm bảo an toàn hệ thống thông tin theo cấp độ trước khi đưa vào vận hành, khai thác, sử dụng; thực hiện công tác kiểm tra, đánh giá an toàn thông tin trước khi đưa hệ thống vào vận hành, khai thác sử dụng và định kỳ kiểm tra, đánh giá hoặc đột xuất khi có yêu cầu theo quy định của pháp luật.

Một số chức năng cơ bản cần đáp ứng bảo đảm an toàn thông tin cấp độ 3 theo quyết định 742/QĐ-BTTTT ngày 22/4/2022 của Bộ Thông tin và Truyền thông ban hành yêu cầu cơ bản đối với phần mềm nội bộ:

TT

Tiêu chí

Yêu cầu

1

Xác thực

1.1

Có chức năng xác thực người sử dụng khi truy cập, quản trị, cấu hình Phần mềm.

a) Có giao diện quản lý tài khoản người sử dụng.

b) Yêu cầu xác thực người sử dụng khi truy cập quản trị, cấu hình Phần mềm.

c) Yêu cầu xác thực người sử dụng khi truy truy cập sử dụng Phần mềm.

1.2

Có chức năng cho phép lưu trữ có mã hóa thông tin xác thực hệ thống.

Thông tin xác thực được lưu trữ có mã hóa trên Phần mềm sử dụng thuật toán hash từ SHA-256, SHA-512, SHA-3 và các thuật toán tương đương

1.3

Có chức năng cho phép thiết lập chính sách mật khẩu người sử dụng.

a) Có chức năng yêu cầu người dùng đặt mật khẩu mới khi đăng nhập lần đầu sử dụng mật khẩu mặc định.

b) Có chức năng cho phép thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự.

c) Có chức năng cho phép thiết lập thời gian yêu cầu thay đổi mật khẩu.

d) Có chức năng cho phép thiết lập thời gian mật khẩu hợp lệ.

e) Mở khóa tài khoản khi thay đổi mật khẩu thành công đối với trường hợp mật khẩu hết hạn thời gian hợp lệ

1.4

Có chức năng cho phép hạn chế số lần đăng nhập sai trong khoảng thời gian nhất định với tài khoản nhất định.

a) Có giao diện cho phép thiết lập chính sách về giới hạn số lần đăng nhập sai trong khoảng thời gian nhất định.

b) Có chức năng cảnh báo tới người sử dụng khi vi phạm chính sách.

c) Có chức năng tự động ngăn cản việc đăng nhập tự động khi vi phạm chính sách trên.

đ) Có chức năng tự động vô hiệu hóa tài khoản nếu vi phạm chính sách trên.

1.5

Có chức năng cho phép mã hóa thông tin xác thực trước khi gửi qua môi trường mạng.

Chức năng bảo đảm mật khẩu được mã hóa trước khi gửi qua môi trường mạng.

2

Kiểm soát truy cập

2.1

Có chức năng cho phép thiết lập giới hạn thời gian chờ (timeout).

a) Có chức năng cho phép thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi Phần mềm không nhận được yêu cầu từ người dùng.

b) Hiển thị thông báo, đóng phiên kết nối đã hết hạn thời gian timeout và yêu cầu đăng nhập lại.

2.2

Có chức năng cho phép giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị Phần mềm từ xa.

a) Có giao diện cho phép quản trị viên quản lý chính sách về giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị Phần mềm từ xa.

b) Có chức năng thực thi chính sách về giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị Phần mềm từ xa ở trên.

2.3

Có chức năng cho phép phân quyền và cấp quyền tối thiểu truy cập, quản trị, sử dụng tài nguyên khác nhau của Phần mềm với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau.

a) Có giao diện cho phép quản trị viên quản lý chính sách về phân quyền tài khoản theo từng nhóm tài khoản.

b) Phân loại nhóm tài khoản theo ít nhất 03 nhóm:

i. Tài khoản người sử dụng thông thường;

ii. Tài khoản quản trị mức sử dụng;

iii. Tài khoản quản trị mức phát triển, vận hành.

c) Có chức năng thực thi chính sách phân quyền và cấp quyền tối thiểu truy cập, quản trị, sử dụng tài nguyên khác nhau ở trên.

2.4

Có chức năng cho phép thiết lập quyền tối thiểu (quyền truy cập, quản trị) cho tài khoản quản trị ứng dụng theo quyền hạn.

a) Có giao diện cho phép quản trị viên thiết lập quyền cho các tài khoản.

b) Có chức năng thực thi chính sách phân quyền cho các tài khoản ở trên.

3

Nhật ký hệ thống

3.1

Có chức năng cho phép ghi nhật ký.

a) Phần mềm cung cấp chức năng ghi nhật ký hệ thống.

b) Nhật ký hệ thống được phân loại theo ít nhất 05 nhóm:

i. Nhật ký truy cập Phần mềm;

ii. Nhật ký đăng nhập khi quản trị Phần mềm;

iii. Nhật ký các lỗi phát sinh trong quá trình hoạt động;

iv. Nhật ký quản lý tài khoản;

V. Nhật ký thay đổi cấu hình Phần mềm

3.2

Có chức năng cho phép quản lý và lưu trữ nhật ký hệ thống trên hệ thống quản lý tập trung.

a) Có giao diện cho phép quản trị viên quản lý chính sách về nhật ký hệ thống.

b) Cho phép quản trị viên cấu hình khoảng thời gian lưu trữ nhật ký qua giao diện trên.

c) Lưu trữ nhật ký với ít nhất 05 thông tin:

i. Thời điểm sinh nhật ký;

ii. Phân nhóm nhật ký;

iii. Mô tả thao tác/lỗi;

iv. Đối tượng thực hiện thao tác/sinh lỗi;

v. Mức độ quan trọng.

4

An toàn ứng dụng và mã nguồn

4.1

Có chức năng cho phép kiểm tra tính hợp lệ của thông tin, dữ liệu đầu vào trước khi xử lý.

Có chức năng thực thi việc kiểm tra tính hợp lệ của thông tin, dữ liệu đầu vào trước khi xử lý

4.2

Có chức năng cho phép bảo vệ ứng dụng chống lại những dạng tấn công phổ biến: SQL Injection, OS command injection, RFI, LFI, Xpath injection, XSS, CSRF

Phần mềm được kiểm tra, đánh giá, kiểm thử xâm nhập theo tiêu chuẩn OWASP và không tồn tại điểm yếu cho phép kẻ tấn công khai thác thông qua các dạng tấn công: SQL Injection, OS command injection, RFI, LFI, Xpath Injection, XSS, CSRF.

4.3

Có chức năng cho phép kiểm soát lỗi, thông báo lỗi từ ứng dụng.

a) Có chức năng kiểm soát lỗi, chỉ hiển thị các thông báo lỗi được kiểm soát đến người dùng và không hiển thị các lỗi bên trong hệ thống.

b) Có chức năng hiển thị thông báo lỗi đến người sử dụng.

4.4

Có chức năng cho phép bảo đảm không lưu trữ thông tin xác thực, thông tin bí mật trên mã nguồn ứng dụng.

Thông tin xác thực, bí mật không được đưa trực tiếp vào mã nguồn ứng dụng mà phải được thiết lập thông qua giao diện cấu hình hệ thống.

5

Bảo mật thông tin liên lạc

5.1

Có chức năng cho phép mã hóa thông tin, dữ liệu trước khi truyền đưa, trao đổi qua môi trường mạng (đối với các ứng dụng yêu cầu sử dụng chữ ký số).

Có chức năng cho phép mã hóa dữ liệu trước khi truyền đưa, trao đổi qua môi trường mạng sử dụng chữ ký số.

6

Sao lưu dự phòng

 

Có chức năng cho phép tự động sao lưu dự phòng.

a) Có giao diện cho phép quản trị viên thiết lập chính sách về sao lưu dự phòng cơ sở dữ liệu và cấu hình hệ thống.

b) Có chức năng cho phép thực hiện việc sao lưu dự phòng theo chính sách ở trên.

 

 

FILE ĐƯỢC ĐÍNH KÈM THEO VĂN BẢN

 

[...]