Quản trị dữ liệu và an toàn thông tin trong ngân hàng số: Tiếp cận tích hợp hướng tới chống chịu vận hành

Tóm tắt: Trong 5 năm gần đây, các ngân hàng Việt Nam đã chuyển dịch mạnh từ mô hình vận hành dựa trên giao dịch sang mô hình vận hành dựa trên dữ liệu. Sự gia tăng nhanh chóng của các dịch vụ ngân hàng số, thanh toán không dùng tiền mặt và tích hợp hệ sinh thái số đã làm mở rộng đáng kể không gian rủi ro liên quan đến dữ liệu, công nghệ và an toàn thông tin. Trong bối cảnh đó, yêu cầu quản trị không còn dừng lại ở việc tăng cường các giải pháp kỹ thuật riêng lẻ, mà đòi hỏi xây dựng một khuôn khổ quản trị tích hợp, bao trùm toàn bộ vòng đời dữ liệu và hệ thống công nghệ. Bài viết phân tích bối cảnh, khung pháp lý mới với trọng tâm là Luật Bảo vệ dữ liệu cá nhân năm 2025, đồng thời đề xuất mô hình quản trị gồm bốn trụ cột: Quản trị dữ liệu, bảo vệ dữ liệu cá nhân, quản trị rủi ro công nghệ và bảo đảm an toàn thông tin gắn với khả năng chống chịu vận hành. Trên cơ sở tham chiếu các chuẩn mực quốc tế, bài viết đưa ra định hướng triển khai phù hợp với điều kiện của các tổ chức tín dụng tại Việt Nam.

Từ khóa: Quản trị dữ liệu, bảo vệ dữ liệu cá nhân, quản trị rủi ro công nghệ, ngân hàng số, ngành Ngân hàng Việt Nam.

DATA GOVERNANCE AND INFORMATION SECURITY IN DIGITAL BANKING:
AN INTEGRATED APPROACH TOWARD OPERATIONAL RESILIENCE

Abstract: Over the past five years, Vietnamese banks have undergone a significant transition from transaction-based operating models to data-driven operating models. The rapid expansion of digital banking services, cashless payments, and integrated digital ecosystems has considerably broadened the risk landscape associated with data, technology, and information security. In this context, governance requirements are no longer limited to strengthening isolated technical solutions, but increasingly require the establishment of an integrated governance framework covering the entire data lifecycle and technology systems. This article analyzes the current context and the emerging legal framework, with particular emphasis on the Law on Personal Data Protection 2025. The study further proposes a governance model built upon four core pillars: Data governance, personal data protection, technology risk management, and information security aligned with operational resilience. Drawing on international standards and best practices, the article provides implementation-oriented recommendations tailored to the operational conditions of Vietnamese credit institutions.

Keywords: Data governance, personal data protection, technology risk management, digital banking, Vietnamese banking sector.

1. Bối cảnh và sự chuyển dịch sang mô hình ngân hàng dựa trên dữ liệu

Trong những năm gần đây, ngành Ngân hàng Việt Nam đã chứng kiến sự thay đổi mang tính cấu trúc khi dữ liệu trở thành yếu tố trung tâm trong mọi hoạt động. Tỉ lệ giao dịch qua kênh số tại nhiều tổ chức tín dụng đã vượt ngưỡng 90%, trong khi thanh toán không dùng tiền mặt gia tăng cả về số lượng và giá trị. Cùng với đó, việc triển khai định danh điện tử, sinh trắc học và các mô hình hợp tác với công ty công nghệ tài chính (Fintech) đã tạo ra một hệ sinh thái dữ liệu phức tạp, đa chiều và liên thông.

Điểm cần nhấn mạnh là, mỗi bước số hóa (định danh khách hàng điện tử - eKYC, Mobile Banking, giao diện lập trình ứng dụng mở - Open API, hợp tác Fintech, trí tuệ nhân tạo (AI) cá nhân hóa) đều tạo thêm luồng dữ liệu mới, điểm tích hợp mới và nếu không có kỷ luật dữ liệu sẽ tạo “nợ kỹ thuật dữ liệu” (data debt) làm tăng rủi ro tuân thủ và rủi ro vận hành.

Nếu trước đây các mối đe dọa chủ yếu tập trung vào hạ tầng công nghệ, thì hiện nay trọng tâm đã chuyển sang khai thác dữ liệu và hành vi người dùng. Các hình thức lừa đảo tinh vi, tấn công mã độc tống tiền (ransomware), rò rỉ dữ liệu và đặc biệt là rủi ro từ bên thứ ba đang đặt ra những thách thức chưa từng có đối với hệ thống ngân hàng.

Ở bình diện quốc tế, Báo cáo Điều tra Vi phạm Dữ liệu (DBIR) năm 2025 của Verizon phân tích hơn 22.000 sự cố an ninh và 12.000 vụ rò rỉ dữ liệu cho thấy, rủi ro từ bên thứ ba trong các vụ vi phạm dữ liệu chiếm 30% các vụ vi phạm; yếu tố con người liên quan khoảng 60% vụ việc; và ransomware là mối đe dọa hàng đầu (chiếm 44% vụ vi phạm).

Một xu hướng đáng chú ý khác là sự xuất hiện của AI trong hoạt động ngân hàng, không chỉ ở cấp độ vận hành mà còn trong các quyết định kinh doanh. Tuy nhiên, việc thiếu kiểm soát đối với việc sử dụng AI đã làm phát sinh nguy cơ rò rỉ dữ liệu và sai lệch mô hình, đặt ra yêu cầu cấp thiết về quản trị AI trong tổ chức. Theo Báo cáo Chi phí Vi phạm Dữ liệu (Cost of a Data Breach Report) năm 2025, IBM ghi nhận chi phí trung bình toàn cầu cho một vụ vi phạm dữ liệu khoảng 4,4 triệu USD và nhấn mạnh “khoảng trống giám sát AI” như sau: 97% tổ chức từng gặp sự cố liên quan đến AI nhưng thiếu kiểm soát truy cập AI phù hợp; 63% thiếu chính sách quản trị AI.

Ở Việt Nam, các báo cáo an toàn thông tin của doanh nghiệp hạ tầng lớn cũng phản ánh xu hướng “dữ liệu bị rao bán” tăng nhanh như Viettel Cyber Security nêu 25,5 triệu bản ghi tài khoản/thông tin đăng nhập trong năm 2025, tăng 76% so với năm 2024. Bên cạnh đó, sự cố an ninh mạng liên quan đến dữ liệu cũng đã được cảnh báo công khai.

Từ các dữ kiện trên, có thể rút ra ba luận điểm mang tính định hướng trong quản trị ngân hàng hiện đại:

Thứ nhất, bản chất của mối đe dọa đang dịch chuyển từ “tấn công hệ thống” sang “tấn công niềm tin”. Thay vì chỉ khai thác lỗ hổng kỹ thuật, các đối tượng tấn công ngày càng tập trung vào việc lợi dụng dữ liệu cá nhân, tài khoản không chính danh và các thiết bị đầu cuối bị kiểm soát bởi phần mềm độc hại (malware) để thực hiện gian lận giao dịch. Điều này buộc các ngân hàng phải thay đổi cách tiếp cận, tăng cường các biện pháp xác thực dựa trên sinh trắc học, triển khai giám sát giao dịch thông minh và thúc đẩy cơ chế chia sẻ thông tin cảnh báo trong toàn hệ thống.

Thứ hai, quản trị dữ liệu và an toàn thông tin không còn được xem là hai lĩnh vực tách biệt. Thực tiễn cho thấy, dữ liệu phân tán, thiếu phân loại và không được kiểm soát theo vòng đời sẽ làm suy giảm hiệu quả của các hệ thống kỹ thuật như phòng, chống thất thoát dữ liệu, hệ thống quản lý sự kiện và thông tin an ninh (DLP/SIEM) dẫn đến chi phí đầu tư lớn, nhưng khả năng phát hiện và kiểm soát rủi ro vẫn hạn chế. Nói cách khác, nếu thiếu kỷ luật dữ liệu, các công cụ an toàn thông tin sẽ khó phát huy hiệu lực thực chất.

Thứ ba, yêu cầu cốt lõi trong quản trị hiện nay là đảm bảo tính liên tục của dịch vụ. Ngân hàng có thể chấp nhận những sự cố ở mức độ nhất định, nhưng không thể chấp nhận việc gián đoạn các dịch vụ quan trọng hoặc thiếu năng lực phục hồi khi xảy ra sự cố. Đây cũng chính là tinh thần của cách tiếp cận về khả năng chống chịu vận hành do Ủy ban Basel về giám sát ngân hàng (BCBS) khuyến nghị, trong đó nhấn mạnh việc duy trì hoạt động thiết yếu ngay cả trong những kịch bản gián đoạn nghiêm trọng.

2. Khung pháp lý và yêu cầu đặt ra về quản trị dữ liệu, bảo vệ dữ liệu cá nhân và an toàn thông tin

Sự phát triển của ngân hàng số đã thúc đẩy quá trình hoàn thiện khung pháp lý tại Việt Nam theo hướng tiệm cận với các chuẩn mực quốc tế. Điểm thay đổi có tính bước ngoặt là việc Luật Bảo vệ dữ liệu cá nhân năm 2025 được Quốc hội ban hành, tạo ra nền tảng pháp lý thống nhất và có hiệu lực cao hơn so với các quy định trước đây.

Luật này không chỉ xác lập rõ quyền của chủ thể dữ liệu, mà còn đặt ra các nghĩa vụ mang tính hệ thống đối với tổ chức xử lý dữ liệu, bao gồm yêu cầu về cơ sở pháp lý của việc xử lý, nguyên tắc tối thiểu hóa dữ liệu, kiểm soát vòng đời dữ liệu và trách nhiệm trong chia sẻ, chuyển dữ liệu xuyên biên giới. Đối với ngành Ngân hàng, nơi xử lý khối lượng lớn dữ liệu nhạy cảm như thông tin định danh, dữ liệu sinh trắc học và giao dịch tài chính, các quy định này đòi hỏi phải được cụ thể hóa thành các cơ chế quản trị nội bộ.

Bên cạnh đó, các khung pháp lý quan trọng như Luật An ninh mạng năm 2018, Luật An toàn thông tin mạng năm 2015, cùng với các nghị định và quy định chuyên ngành đã hình thành một hệ thống pháp lý tương đối đầy đủ, bao phủ từ bảo vệ dữ liệu, an toàn hệ thống đến an toàn dịch vụ ngân hàng số. Cụ thể:

- Luật An toàn thông tin mạng năm 2015 quy định khung bảo đảm an toàn thông tin mạng, quyền và trách nhiệm các bên. Luật An ninh mạng năm 2018 và Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng, bao gồm các biện pháp bảo vệ, kiểm tra, giám sát và ứng phó/khắc phục sự cố.

- Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ, yêu cầu bảo đảm an toàn xuyên suốt vòng đời từ thiết kế - xây dựng - vận hành đến hủy bỏ và tuân thủ tiêu chuẩn/quy chuẩn kỹ thuật. Đây là điểm tựa quan trọng để ngân hàng hợp thức hóa các yêu cầu như phân vùng mạng, quản trị lỗ hổng, kiểm thử định kỳ, dự phòng tránh tình trạng “đầu tư theo phong trào”.

- Nghị định số 69/2024/NĐ-CP ngày 25/6/2024 của Chính phủ quy định về định danh và xác thực điện tử; trong đó nhấn mạnh nguyên tắc bảo đảm an ninh, an toàn thiết bị, bảo mật dữ liệu khi thực hiện định danh và xác thực điện tử, đồng thời yêu cầu tuân thủ quy định bảo vệ dữ liệu cá nhân. Đây là nền tảng pháp lý quan trọng cho eKYC và xác thực sinh trắc học trong ngân hàng.

- Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 của Thống đốc NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng, đóng vai trò “khung tối thiểu” về quản trị rủi ro công nghệ thông tin và sự cố an toàn thông tin.

- Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng; Thông tư số 77/2025/TT-NHNN ngày 31/12/2025 của Thống đốc NHNN sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN, thể hiện xu hướng siết chặt an toàn Mobile Banking và kiểm soát phiên bản ứng dụng.

Ở bình diện quốc tế, các chuẩn mực như BCBS 239 hay Khung an ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia (National Institute of Standards and Technology - NIST) của Hoa Kỳ tiếp tục đóng vai trò là tham chiếu quan trọng, giúp các ngân hàng nâng cao năng lực quản trị rủi ro và đảm bảo tính minh bạch trong báo cáo.

Cụ thể:

- Bộ nguyên tắc BCBS 239 nhấn mạnh yêu cầu nâng cao năng lực tổng hợp dữ liệu rủi ro và xây dựng hệ thống báo cáo rủi ro hiệu quả, đặc biệt đối với các ngân hàng có tầm quan trọng trong hệ thống.

- Khung an ninh mạng NIST CSF 2.0 cung cấp một cấu trúc định hướng theo kết quả, giúp các tổ chức quản trị rủi ro an ninh mạng một cách hệ thống, thuận lợi hơn trong trao đổi, báo cáo với hội đồng quản trị và cơ quan quản lý.

- Tiêu chuẩn ISO/IEC 27001:2022 là tiêu chuẩn quốc tế về Hệ thống Quản lý An toàn Thông tin (ISMS), đặt ra yêu cầu xây dựng hệ thống quản lý an toàn thông tin theo hướng quản trị rủi ro và cải tiến liên tục, qua đó tạo nền tảng vận hành bền vững cho các tổ chức tài chính.

- Các nguyên tắc về khả năng chống chịu vận hành do BCBS ban hành năm 2021 tiếp tục nhấn mạnh việc xác định các hoạt động trọng yếu, thiết lập ngưỡng chịu gián đoạn và tổ chức kiểm thử định kỳ nhằm bảo đảm khả năng duy trì hoạt động trong các kịch bản gián đoạn nghiêm trọng nhưng hợp lý.

- Tại châu Âu, DORA Regulation (EU) 2022/2554, áp dụng từ ngày 17/01/2025, đã thiết lập một khuôn khổ toàn diện về khả năng chống chịu hoạt động số, trong đó đặc biệt nhấn mạnh quản trị rủi ro công nghệ thông tin và truyền thông (ICT) cũng như quản lý các nhà cung cấp ICT trọng yếu. Đây là kinh nghiệm tham chiếu có giá trị đối với các ngân hàng Việt Nam trong quá trình mở rộng điện toán đám mây và dịch vụ thuê ngoài.

- Hướng dẫn của European Banking Authority (EBA) về quản trị rủi ro ICT và an ninh (EBA/2019/04 và nội dung cập nhật) cũng đưa ra các kỳ vọng giám sát cụ thể liên quan đến quản trị nội bộ, vận hành ICT, quản lý sự thay đổi và xây dựng kế hoạch duy trì hoạt động liên tục.

3. Mô hình quản trị dữ liệu và kiến trúc năng lực trong ngân hàng hiện đại

Trụ cột thứ nhất: Nền tảng quản trị

Trong cấu trúc quản trị ngân hàng số, nếu an toàn thông tin được ví như “lớp áo giáp” bảo vệ hệ thống, thì quản trị dữ liệu là “kỷ luật nội tại” giúp ngân hàng không tự tạo ra các điểm yếu từ bên trong. Do đó, việc xây dựng mô hình quản trị dữ liệu không thể tách rời quản trị rủi ro và tuân thủ, mà phải được đặt trong một khuôn khổ tích hợp, gắn với toàn bộ hoạt động vận hành và ra quyết định.

Về mô hình tổ chức, thực tiễn tại các ngân hàng Việt Nam cho thấy một cấu trúc hiệu quả thường bắt đầu từ vai trò của Ban điều hành, nơi định hướng chiến lược, ưu tiên dữ liệu gắn với các mục tiêu như tăng trưởng bán lẻ, quản trị rủi ro, chống gian lận và tuân thủ pháp lý. Trên nền tảng đó, Hội đồng dữ liệu đóng vai trò là cơ chế điều phối trung tâm, nơi xác lập các định nghĩa dữ liệu trọng yếu, chuẩn dữ liệu, quyền truy cập, phân bổ nguồn lực.

Ở cấp điều hành chức năng, Giám đốc dữ liệu (CDO) chịu trách nhiệm phát triển năng lực dữ liệu toàn ngân hàng; trong khi Giám đốc an toàn thông tin (CISO) phụ trách bảo mật và an toàn hệ thống; hai chức năng này cần được kết nối thông qua cơ chế đồng quản trị vì phần lớn rủi ro dữ liệu hiện nay đều gắn chặt với rủi ro bảo mật và quyền riêng tư.

Toàn bộ cấu trúc này được vận hành theo mô hình ba tuyến phòng thủ: Tuyến 1 (kinh doanh và vận hành) trực tiếp sở hữu dữ liệu và quy trình; tuyến 2 (quản trị rủi ro và tuân thủ, an toàn thông tin) thiết lập chuẩn mực và giám sát; tuyến 3 (kiểm toán nội bộ) thực hiện đánh giá độc lập.

Cách tiếp cận này phù hợp với tinh thần BCBS 239, khi coi dữ liệu rủi ro và báo cáo rủi ro là trách nhiệm của toàn ngân hàng, đòi hỏi đầu tư dài hạn cả về hệ thống dữ liệu và quy trình báo cáo.

Xét về mô hình tổ chức dữ liệu, các ngân hàng hiện nay thường vận hành theo ba dạng cơ bản là tập trung, liên kết và lưới dữ liệu. Trong đó, mô hình tập trung cho phép kiểm soát chặt chẽ thông qua một kho dữ liệu dùng chung, nhưng dễ phát sinh điểm nghẽn khi nhu cầu khai thác tăng cao. Ngược lại, mô hình liên kết phân bổ trách nhiệm quản trị dữ liệu về các đơn vị nghiệp vụ, trong khi vẫn duy trì chuẩn mực và chính sách ở cấp trung tâm, do đó phù hợp hơn với các ngân hàng có danh mục sản phẩm đa dạng. Ở mức độ cao hơn, mô hình lưới dữ liệu coi dữ liệu như một sản phẩm của từng vùng nghiệp vụ, đi kèm với các cam kết dịch vụ (SLA) rõ ràng, nhưng chỉ thực sự khả thi khi ngân hàng đã đạt đến mức trưởng thành cao về vận hành dữ liệu và có nền tảng siêu dữ liệu (metadata) đủ mạnh.

Trong điều kiện Việt Nam, lựa chọn hợp lý là hướng tới mô hình liên kết trong trung hạn (12 - 24 tháng), trước khi tiến lên mô hình lưới dữ liệu khi đã hoàn thiện các điều kiện nền tảng như: (i) Danh mục siêu dữ liệu (metadata catalog); (ii) Kiểm soát truy cập tự động; (iii) Đo lường chất lượng dữ liệu; và (iv) Nền tảng chia sẻ dữ liệu an toàn.

Song song với mô hình tổ chức, kiến trúc dữ liệu cũng cần được chuyển đổi từ cách tiếp cận “kho lưu trữ” sang “dòng chảy dữ liệu có kiểm soát”. Một kiến trúc dữ liệu hiện đại phải cho phép ngân hàng biết rõ danh mục dữ liệu đang có, ai sở hữu và mức độ nhạy cảm của từng loại dữ liệu; đồng thời thiết lập hệ thống quản lý dữ liệu chủ (MDM) để thống nhất các thực thể cốt lõi như khách hàng, tài khoản, thiết bị và đối tác. Bên cạnh đó, các nền tảng lưu trữ, xử lý dữ liệu cần đáp ứng cả yêu cầu phân tích quy mô lớn và báo cáo quản trị, trong khi dòng dữ liệu theo thời gian thực, kiến trúc hướng sự kiện trở thành yếu tố thiết yếu cho các hoạt động như giám sát giao dịch và phòng, chống gian lận. Trong toàn bộ cấu trúc này, khả năng truy vết dòng dữ liệu giữ vai trò đặc biệt quan trọng, bởi nó cho phép ngân hàng xác định nguồn gốc dữ liệu, các bước biến đổi và lịch sử truy cập, từ đó bảo đảm tính minh bạch, khả năng kiểm chứng, đặc biệt cho báo cáo quản trị và thanh tra.

Trụ cột thứ hai: Bảo vệ dữ liệu cá nhân

Trên nền tảng quản trị dữ liệu, trụ cột thứ hai là bảo vệ dữ liệu cá nhân cần được triển khai theo hướng chuyển từ cam kết sang cơ chế vận hành cụ thể. Với việc thi hành Luật Bảo vệ dữ liệu cá nhân năm 2025, các ngân hàng buộc phải tích hợp yêu cầu bảo vệ dữ liệu vào toàn bộ vòng đời sản phẩm và dịch vụ. Điều này đòi hỏi phải thiết lập rõ chức năng bảo vệ dữ liệu trong tổ chức, xây dựng quy trình kiểm soát việc thu thập, sử dụng và lưu trữ dữ liệu, đồng thời triển khai các giải pháp công nghệ như phân loại dữ liệu, mã hóa, kiểm soát truy cập. Việc quản trị dữ liệu cá nhân không còn là vấn đề pháp lý thuần túy, mà trở thành một cấu phần không thể tách rời của quản trị dữ liệu tổng thể.

Trụ cột thứ ba: Quản trị rủi ro công nghệ

Trụ cột này đang trở nên ngày càng phức tạp khi ngân hàng mở rộng ứng dụng điện toán đám mây, tích hợp hệ thống thông qua giao diện lập trình ứng dụng và hợp tác sâu với các đối tác bên ngoài. Trong môi trường điện toán đám mây, nguyên tắc trách nhiệm chia sẻ (Shared responsibility) cần được cụ thể hóa thành ma trận trách nhiệm rõ ràng giữa ngân hàng và nhà cung cấp, đồng thời yêu cầu kiểm soát cấu hình, phân vùng dữ liệu và giám sát hoạt động phải được thực hiện một cách chặt chẽ. Bên cạnh đó, rủi ro từ bên thứ ba không còn dừng lại ở giai đoạn lựa chọn nhà cung cấp, mà kéo dài suốt vòng đời hợp tác, từ thẩm định, ký kết hợp đồng đến giám sát, xây dựng phương án thay thế. Đặc biệt, sự phát triển nhanh của AI đặt ra yêu cầu xây dựng cơ chế quản trị riêng đối với các mô hình và ứng dụng AI, nhằm kiểm soát rủi ro về dữ liệu, sai lệch mô hình, nguy cơ rò rỉ thông tin thông qua các nền tảng AI công cộng.

Trụ cột thứ tư: An toàn thông tin và khả năng chống chịu vận hành

An toàn thông tin cần được nhìn nhận trong mối liên hệ chặt chẽ với khả năng chống chịu vận hành. Trong điều kiện phần lớn giao dịch được thực hiện qua kênh số, an toàn thông tin không chỉ là bảo vệ hệ thống khỏi tấn công, mà còn là bảo đảm duy trì dịch vụ trong mọi tình huống gián đoạn.

Báo cáo DBIR 2025 cảnh báo nguy cơ rò rỉ dữ liệu lên nền tảng GenAI với 15% nhân viên thường xuyên truy cập GenAI trên thiết bị công ty; trong số đó 72% dùng email không thuộc doanh nghiệp để tạo tài khoản. IBM cũng nhấn mạnh khoảng trống kiểm soát AI và thiếu chính sách quản trị.

Theo cách tiếp cận của BCBS, khả năng chống chịu vận hành đòi hỏi ngân hàng phải xác định các hoạt động trọng yếu, thiết lập ngưỡng chịu gián đoạn và thường xuyên kiểm thử các kịch bản sự cố. Khung NIST CSF 2.0 cung cấp một cấu trúc hữu ích để triển khai các biện pháp kiểm soát từ nhận diện, bảo vệ, phát hiện đến ứng phó và phục hồi, qua đó hình thành một hệ thống quản trị an toàn thông tin toàn diện.

Thực tiễn quốc tế cho thấy, các ngân hàng lớn như JPMorgan Chase đã tích hợp quản trị an ninh mạng, quyền riêng tư và phục hồi công nghệ vào cùng một khuôn khổ rủi ro vận hành, trong đó nhấn mạnh vai trò của đào tạo nhận thức, diễn tập sự cố và đo lường hiệu quả. Điều này cho thấy an toàn thông tin không thể được triển khai như một dự án riêng lẻ, mà phải trở thành một hệ thống bao gồm con người, quy trình, công nghệ và cơ chế giám sát liên tục.

Bốn trụ cột nêu trên không tồn tại độc lập mà có mối liên hệ chặt chẽ và bổ trợ lẫn nhau. Quản trị dữ liệu tạo nền tảng cho bảo vệ dữ liệu cá nhân; bảo vệ dữ liệu cá nhân là một phần của quản trị rủi ro công nghệ; và tất cả các yếu tố này đều hội tụ trong mục tiêu cuối cùng là bảo đảm an toàn thông tin và khả năng chống chịu vận hành của ngân hàng trong môi trường số.

4. Lộ trình triển khai và khuyến nghị chính sách

4.1. Bộ chỉ tiêu đo lường hiệu quả quản trị dữ liệu (KPI/KRI) và an toàn thông tin

Trong quản trị ngân hàng hiện đại, đo lường chính là yếu tố phân định giữa một chương trình mang tính hình thức và một năng lực thực chất. Đối với lĩnh vực ngân hàng, nơi dữ liệu và công nghệ gắn trực tiếp với rủi ro hệ thống, việc thiết lập một bộ chỉ tiêu KPI/KRI không chỉ phục vụ mục tiêu vận hành nội bộ, mà còn là công cụ quan trọng để báo cáo và đối thoại với Ban điều hành, Hội đồng quản trị và cơ quan giám sát. Bộ chỉ tiêu này cần được thiết kế theo hướng bao trùm bốn trụ cột gồm quản trị dữ liệu, bảo vệ dữ liệu cá nhân, quản trị rủi ro công nghệ và an toàn thông tin gắn với khả năng chống chịu vận hành.

Trước hết, đối với trụ cột quản trị dữ liệu, các chỉ tiêu cần phản ánh mức độ “kỷ luật dữ liệu” trong toàn tổ chức. Một chỉ số nền tảng là tỉ lệ dữ liệu trọng yếu đã được phân loại và gắn nhãn theo chuẩn nội bộ, qua đó cho thấy khả năng nhận diện tài sản dữ liệu. Đi kèm với đó là tỉ lệ dữ liệu có chủ sở hữu rõ ràng (data owner) và được quản lý trong danh mục dữ liệu tập trung. Về chất lượng dữ liệu, có thể sử dụng các chỉ tiêu như tỉ lệ bản ghi đạt chuẩn chất lượng (đầy đủ, chính xác, nhất quán) hoặc số lượng sự cố liên quan đến sai lệch dữ liệu ảnh hưởng đến báo cáo quản trị. Ngoài ra, thời gian trung bình để truy vết dòng dữ liệu khi phát sinh vấn đề (data lineage resolution time) là một chỉ số quan trọng phản ánh mức độ trưởng thành của kiến trúc dữ liệu.

Đối với trụ cột bảo vệ dữ liệu cá nhân, trọng tâm đo lường cần chuyển từ “có chính sách” sang “thực thi hiệu quả”. Một chỉ tiêu quan trọng là tỉ lệ dữ liệu cá nhân đã được phân loại và áp dụng biện pháp bảo vệ tương ứng theo quy định của Luật Bảo vệ dữ liệu cá nhân. Bên cạnh đó, tỉ lệ yêu cầu của chủ thể dữ liệu được xử lý đúng hạn và đầy đủ phản ánh mức độ tuân thủ quyền riêng tư. Các chỉ tiêu về sự cố, như số lượng hoặc tỉ lệ sự cố rò rỉ dữ liệu cá nhân và thời gian phát hiện - xử lý sự cố, cần được theo dõi chặt chẽ. Ngoài ra, tỉ lệ hệ thống và ứng dụng đã tích hợp nguyên tắc “bảo vệ dữ liệu theo thiết kế” (privacy by design) cũng là một thước đo quan trọng ở cấp chiến lược.

Ở trụ cột quản trị rủi ro công nghệ, các chỉ tiêu cần tập trung vào các khu vực rủi ro đang gia tăng nhanh như điện toán đám mây, bên thứ ba và AI. Đối với môi trường đám mây, tỉ lệ cấu hình sai (misconfiguration rate) và thời gian khắc phục lỗ hổng là các chỉ số cảnh báo sớm. Trong quản trị bên thứ ba, tỉ lệ nhà cung cấp trọng yếu đã được đánh giá rủi ro đầy đủ, cũng như số lượng sự cố phát sinh từ bên thứ ba, là những chỉ tiêu cần được báo cáo định kỳ. Đối với AI, có thể theo dõi tỉ lệ mô hình đã được kiểm định rủi ro (model validation), số lượng trường hợp sử dụng AI không được phê duyệt (shadow AI) và các sự cố liên quan đến rò rỉ dữ liệu qua nền tảng AI.

Cuối cùng, trong trụ cột an toàn thông tin và chống chịu vận hành, các chỉ tiêu cần phản ánh trực tiếp khả năng phát hiện, ứng phó và phục hồi của hệ thống. Các chỉ số phổ biến và có giá trị quản trị cao bao gồm thời gian trung bình phát hiện sự cố (Mean Time to Detect - MTTD), thời gian trung bình xử lý sự cố (Mean Time to Respond/Recover - MTTR), và tỉ lệ sự cố được xử lý trong ngưỡng mục tiêu. Bên cạnh đó, tỉ lệ hệ thống quan trọng đáp ứng yêu cầu xác thực đa yếu tố, tỉ lệ dữ liệu được mã hóa khi lưu trữ và truyền tải, cũng như tỉ lệ thành công của các bài kiểm thử khôi phục thảm họa (disaster recovery test success rate) là những chỉ tiêu phản ánh mức độ sẵn sàng vận hành. Một chỉ số mang tính chiến lược hơn là mức độ tuân thủ ngưỡng chịu gián đoạn đối với các dịch vụ trọng yếu, phù hợp với cách tiếp cận về chống chịu vận hành của BCBS.

Bộ chỉ tiêu đo lường KPI/KRI không nên được xem là tập hợp các chỉ số rời rạc, mà cần được tích hợp vào hệ thống quản trị, có liên kết với mục tiêu chiến lược và được theo dõi liên tục. Việc chuẩn hóa và báo cáo các chỉ tiêu này một cách nhất quán sẽ giúp các ngân hàng chuyển từ quản trị dựa trên cảm tính sang quản trị dựa trên dữ liệu, qua đó nâng cao hiệu lực kiểm soát và khả năng ra quyết định trong môi trường số. (Bảng 2)

4.2. Lộ trình triển khai 24 tháng theo nguyên tắc “đặt nền - chuẩn hóa - tự động hóa - tối ưu” (Bảng 3)

4.3. Một số khuyến nghị

Thời gian qua, Ngân hàng Nhà nước Việt Nam (NHNN) đã triển khai các giải pháp tăng cường an toàn giao dịch thông qua xác thực sinh trắc học và xây dựng hệ thống giám sát tài khoản nghi ngờ gian lận (SIMO); đồng thời, các ngân hàng thương mại (NHTM) đã chuyển từ cách tiếp cận bảo vệ riêng lẻ sang mô hình “chia sẻ dữ liệu dựa trên rủi ro” (risk-informed data sharing). Ở cấp độ tổ chức, kinh nghiệm từ NHTM cổ phần Kỹ thương Việt Nam (Techcombank) cho thấy, việc bảo đảm an toàn kênh số không chỉ dựa vào các giải pháp kỹ thuật đơn lẻ, mà phải kết hợp đồng bộ giữa bảo mật thiết bị, xác thực hai lớp, truyền dữ liệu có mã hóa và nâng cao nhận thức khách hàng.

Trong bối cảnh chiến lược “mobile-first” ngày càng phổ biến, thiết bị đầu cuối của người dùng đang trở thành điểm yếu lớn nhất trong chuỗi an toàn trong thanh toán số. Do đó, các ngân hàng cần thiết lập chính sách kiểm soát thiết bị ở mức độ phù hợp, kết hợp các giải pháp kỹ thuật như phát hiện can thiệp hệ thống, đánh giá tính toàn vẹn thiết bị với các mô hình chấm điểm rủi ro giao dịch theo thời gian thực. Đồng thời, hoạt động truyền thông và giáo dục khách hàng cần được xem là một cấu phần của hệ thống kiểm soát, thay vì là hoạt động hỗ trợ bên ngoài. Cách tiếp cận này phản ánh sự gắn kết giữa trụ cột bảo vệ dữ liệu cá nhân và an toàn thông tin trong thực tiễn triển khai.

Ở phạm vi quốc tế, kinh nghiệm của DBS Bank cho thấy, việc thiết lập một khung quản trị dữ liệu rõ ràng, xác định ranh giới pháp lý và đạo đức trong sử dụng dữ liệu, đồng thời gắn trách nhiệm này với hội đồng quản trị, là điều kiện tiên quyết để kiểm soát rủi ro trong môi trường số. Đặc biệt, các sự cố gián đoạn dịch vụ và phản ứng của cơ quan giám sát đã cho thấy khả năng chống chịu vận hành không chỉ ảnh hưởng đến uy tín, mà còn có thể dẫn tới các yêu cầu về vốn và hạn chế tăng trưởng. Từ đó, một khuyến nghị quan trọng đối với các ngân hàng Việt Nam là cần đưa năng lực chống chịu vận hành vào trọng tâm chiến lược, với các chỉ tiêu đo lường cụ thể và cơ chế giám sát ở cấp cao nhất, thay vì chỉ xử lý ở cấp kỹ thuật.

Từ các bài học kinh nghiệm và thực tiễn trên, một số định hướng chính sách được đề xuất nhằm nâng cao hiệu quả quản trị dữ liệu tại các NHTM như sau:

Thứ nhất, cần thúc đẩy chuẩn hóa “ngôn ngữ dữ liệu” ở cấp hệ thống ngân hàng. Thông qua việc xây bộ tiêu chuẩn tối thiểu cho dữ liệu định danh, tài khoản, thiết bị và giao dịch để phục vụ mục tiêu nội bộ, tạo nền tảng cho chia sẻ dữ liệu và phát triển ngân hàng mở, qua đó nâng cao hiệu quả giám sát và phòng, chống gian lận.

Thứ hai, các ngân hàng cần nâng cao chuẩn giám sát rủi ro công nghệ và bên thứ ba, tham chiếu các thông lệ quốc tế như DORA Regulation (EU) 2022/2554 và các hướng dẫn của EBA, bao gồm việc phân tầng nhà cung cấp theo mức độ rủi ro, thiết lập quyền kiểm tra, xây dựng kế hoạch thay thế và tổ chức diễn tập gián đoạn dịch vụ.

Thứ ba, cần chuyển từ cách tiếp cận tuân thủ dựa trên hồ sơ sang tuân thủ dựa trên đo lường. Việc ban hành hướng dẫn, áp dụng bộ chỉ tiêu KPI/KRI tối thiểu cấp ở cấp ngành (MTTD/MTTR; tỉ lệ phân loại dữ liệu; mức độ triển khai xác thực đa yếu tố; kết quả kiểm thử phục hồi…) sẽ giúp cơ quan quản lý và các ngân hàng đánh giá hiệu quả thực chất của hệ thống kiểm soát.

Thứ tư, năng lực bảo vệ dữ liệu cá nhân cần được nâng lên tương xứng với sự phát triển của định danh số và các dịch vụ ngân hàng số. Các ngân hàng cần tích hợp nguyên tắc “bảo vệ dữ liệu theo thiết kế” vào các quy trình như định danh điện tử, chấm điểm tín dụng và chia sẻ dữ liệu với đối tác, đồng thời tăng cường phối hợp với các cơ quan quản lý về định danh và xác thực điện tử để giảm thiểu rủi ro giả mạo.

Cuối cùng, cần sớm thiết lập cơ chế quản trị AI. Các ngân hàng cần ban hành các quy định nội bộ tối thiểu về sử dụng GenAI trong ngân hàng, bao gồm kiểm soát dữ liệu đầu vào, cấm đưa dữ liệu nhạy cảm lên nền tảng công cộng; yêu cầu lưu vết hoạt động và đánh giá rủi ro mô hình.

Tài liệu tham khảo:

1. Basel Committee (BIS), BCBS 239 “Principles for effective risk data aggregation and risk reporting”.

2. Basel Committee (BIS): “Principles for operational resilience”

3. DBS Annual Report 2024 (tải mục “business model” có đoạn về data governance framework)

4. DBS newsroom: “DBS’ response to MAS' actions on digital disruption”

5. IBM: Cost of a Data Breach Report 2025

6. ISO: ISO/IEC 27001 (Information security management systems)

7. Huy Thắng (2025), Chuyển đổi số ngân hàng 2025: Kết nối dữ liệu, an toàn giao dịch”, Báo Điện tử Chính phủ ngày 26/5/2025.

8. Luật Bảo vệ dữ liệu cá nhân năm 2025.

9. Minh Hà (2024), Nâng cao chất lượng dịch vụ và bảo vệ quyền lợi của khách hàng trong sử dụng dịch vụ ngân hàng trực tuyến, Tạp chí điện tử Ngân hàng ngày 04/12/2024.

10. NIST: Cybersecurity Framework (CSF) 2.0

11. Ngô Thị Huyền Linh (2025), Bức tranh chuyển đổi số ngành Ngân hàng Việt Nam năm 2025: Một số thành tựu, thách thức và định hướng chiến lược, Tạp chí điện tử Ngân hàng ngày 16/12/2025.

12. Nghị định số 69/2024/NĐ-CP ngày 25/6/2024 của Chính phủ quy định về định danh và xác thực điện tử.

13. Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

14. Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

15. Thông tư số 77/2025/TT-NHNN ngày 31/12/2025 của Thống đốc NHNN sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

16. Techcombank bảo vệ người dùng nền tảng số, truy cập ngày 20/3/2026 tại https://techcombank.com/ho-tro/an-toan-va-bao-ve-so.

17. JPMorgan: 2024 Form 10-K (PDF) - mục đề cập cấu trúc cybersecurity, privacy training, technology resiliency

18. Viettel Cyber Security: Báo cáo tình hình nguy cơ ATTT tại Việt Nam năm 2025.

19. Verizon: 2025 DBIR Executive Summary.