Thông tư quy định bảo đảm an toàn bảo mật hệ thống thông tin trong hoạt động ngân hàng

Thông tư Khongso

Dự thảo Thông tư quy định về bảo đảm an toàn, bảo mật hệ thống thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành

Nội dung toàn văn Thông tư quy định bảo đảm an toàn bảo mật hệ thống thông tin trong hoạt động ngân hàng


NGÂN HÀNG NHÀ NƯỚC
VIỆT NAM
--------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số:           /2018/TT-NHNN

Hà Nội,  ngày       tháng      năm 2018

DỰ THẢO LẦN 1

 

 

THÔNG TƯ

QUY ĐỊNH VỀ BẢO ĐẢM AN TOÀN, BẢO MẬT HỆ THỐNG THÔNG TIN TRONG HOẠT ĐỘNG NGÂN HÀNG

Căn cứ Luật Ngân hàng Nhà nư­ớc Việt Nam số 46/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật Các tổ chức tín dụng số 47/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật sửa đổi, bổ sung một số điều của Luật Các tổ chức tín dụng số 17/2017/QH14 ngày 20 tháng 11 năm 2017;

Căn cứ Luật Giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005;

Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 ngày 29 tháng 6 năm 2006;

Căn cứ Luật an toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 16/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ thông tin,

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định về bảo đảm an toàn, bảo mật hệ thống thông tin trong hoạt động ngân hàng.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Thông tư này quy định về bảo đảm an toàn, bảo mật hệ thống thông tin trong hoạt động ngân hàng.

2. Thông tư này áp dụng đối với Ngân hàng Nhà nước Việt Nam (Ngân hàng Nhà nước), các tổ chức tín dụng (trừ quỹ tín dụng nhân dân, tổ chức tài chính vi mô), chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán (sau đây gọi chung là đơn vị).

Điều 2. Giải thích từ ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Hệ thống thông tin là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của đơn vị.

2. Trung tâm dữ liệu bao gồm hạ tầng kỹ thuật (nhà trạm, hệ thống cáp) và hệ thống máy tính cùng các thiết bị phụ trợ được lắp đặt vào đó để xử lý, lưu trữ, trao đổi và quản lý tập trung dữ liệu của một hay nhiều tổ chức, cá nhân.

3. Thiết bị di động là thiết bị số có thể cầm tay, có hệ điều hành, có khả năng xử lý, kết nối mạng và có màn hình hiển thị như máy tính xách tay, máy tính bảng, điện thoại di động thông minh.

4. Vật mang tin là các phương tiện vật chất dùng để lưu giữ và truyền nhận thông tin điện tử.

5. Rủi ro công nghệ thông tin là khả năng xảy ra tổn thất khi thực hiện các hoạt động liên quan đến hệ thống thông tin. Rủi ro công nghệ thông tin liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành và con người.

6. Quản lý rủi ro công nghệ thông tin là các hoạt động phối hợp nhằm nhận diện và kiểm soát các rủi ro công nghệ thông tin có thể xảy ra.

7. Tài khoản người dùng (tài khoản) là một tập hợp thông tin đại diện duy nhất cho người sử dụng trên hệ thống thông tin, người dùng sử dụng để đăng nhập và truy cập các tài nguyên được cấp phép trên hệ thống thông tin đó.

8. Bên thứ ba là các tổ chức, cá nhân được đơn vị thuê hoặc hợp tác với đơn vị nhằm cung cấp hàng hoá, dịch vụ công nghệ thông tin.

9. Tường lửa là tập hợp các thành phần hoặc một hệ thống các trang thiết bị, phần mềm được đặt giữa hai mạng, nhằm kiểm soát tất cả các kết nối từ bên trong ra bên ngoài mạng hoặc ngược lại.

10. Phần mềm độc hại (mã độc) là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

11. Điểm yếu về mặt kỹ thuật là vị trí trong hệ thống thông tin dễ bị khai thác, lợi dụng khi bị tấn công hoặc xâm nhập bất hợp pháp.

12. Tính bí mật của thông tin là bảo đảm thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng.

13. Tính toàn vẹn của thông tin là bảo vệ sự chính xác và đầy đủ của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền.

14. Tính sẵn sàng của thông tin là bảo đảm những người được cấp quyền có thể truy xuất thông tin ngay khi có nhu cầu.

15. An ninh mạng là sự bảo vệ hệ thống thông tin và thông tin truyền đưa trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính toàn vẹn, tính bí mật và tính sẵn sàng của thông tin.

16. Mạng không tin cậy là mạng bên ngoài có kết nối vào mạng của đơn vị và không thuộc sự quản lý của đơn vị.

17. Dịch vụ điện toán đám mây là các dịch vụ cung cấp tài nguyên máy tính qua môi trường mạng cho phép nhiều đối tượng sử dụng, có thể điều chỉnh cấu hình theo nhu cầu và thanh toán theo nhu cầu sử dụng.

Điều 3. Nguyên tắc chung

Để bảo đảm an toàn, bảo mật hệ thống thông tin, đơn vị phải tuân thủ các nguyên tắc sau đây:

1. Xác định rõ quyền hạn, trách nhiệm của thủ trưởng đơn vị hoặc cá nhân trong đơn vị đối với công tác bảo đảm an toàn, bảo mật hệ thống thông tin.

2. Phân loại các hệ thống thông tin theo cấp độ và áp dụng chính sách bảo đảm an toàn, bảo mật phù hợp.

3. Nhận biết, phân loại, đánh giá kịp thời và xử lý có hiệu quả các rủi ro công nghệ thông tin có thể xảy ra trong đơn vị.

4. Xây dựng, triển khai quy chế an toàn, bảo mật hệ thống thông tin trên cơ sở hài hòa giữa lợi ích, chi phí và mức độ chấp nhận rủi ro của đơn vị.

Điều 4. Phân loại thông tin và hệ thống thông tin

1. Nguyên tắc phân loại thông tin theo thuộc tính bí mật:

a) Thông tin công cộng là thông tin được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó;

b) Thông tin nội bộ là thông tin được phân quyền quản lý, khai thác cho một hoặc một nhóm đối tượng được xác định danh tính;

c) Thông tin bí mật là thông tin được xếp ở mức Mật theo quy định của đơn vị và hạn chế đối tượng được tiếp cận; thông tin ở mức Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước.

2. Nguyên tắc phân loại hệ thống thông tin theo cấp độ:

a) Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của đơn vị và chỉ xử lý thông tin công cộng.

b) Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí sau:

- Hệ thống thông tin phục vụ hoạt động nội bộ của một hoặc một số bộ phận của đơn vị và có xử lý thông tin nội bộ.

- Hệ thống thông tin phục vụ khách hàng nhưng không xử lý thông tin bí mật.

c) Hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí sau:

- Hệ thống thông tin xử lý thông tin nội bộ của đơn vị và có xử lý thông tin bí mật.

- Hệ thống thông tin phục vụ hoạt động nội bộ hàng ngày của đơn vị và không chấp nhận ngừng vận hành quá 4 giờ làm việc.

- Hệ thống thông tin phục vụ khách hàng yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

- Hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến cho khách hàng.

d) Hệ thống thông tin cấp độ 4 là hệ thống thông tin có một trong các tiêu chí sau:

- Hệ thống thông tin quốc gia phục vụ Chính phủ điện tử yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

- Hệ thống thông tin trong ngành Ngân hàng cung cấp dịch vụ cho các hệ thống thông tin cấp độ 4 theo quy định của Chính phủ.

- Hệ thống cơ sở hạ tầng thông tin dùng chung trong ngành Ngân hàng phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

đ) Hệ thống thông tin cấp độ 5 là hệ thống thông tin trong ngành Ngân hàng cung cấp dịch vụ cho các hệ thống thông tin cấp độ 5 theo quy định của Chính phủ.

3. Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với một cấp độ khác nhau, thì cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phần cấu thành.

Điều 5. Quy chế an toàn, bảo mật hệ thống thông tin

1. Các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống thông tin phù hợp với hệ thống thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của đơn vị. Quy chế an toàn, bảo mật hệ thống thông tin phải được thủ trưởng đơn vị (hoặc người đại diện hợp pháp) ký ban hành, tổ chức thực hiện, triển khai trong toàn đơn vị.

2. Quy chế an toàn, bảo mật hệ thống thông tin quy định về các nội dung cơ bản sau:

a) Quản lý tài sản công nghệ thông tin; quản lý sử dụng thiết bị di động; quản lý sử dụng vật mang tin;

b) Quản lý nguồn nhân lực;

c) Bảo đảm an toàn về mặt vật lý và môi trường;

d) Quản lý vận hành và trao đổi thông tin;

đ) Quản lý truy cập;

e) Quản lý sử dụng dịch vụ công nghệ thông tin của bên thứ ba;

g) Quản lý tiếp nhận, phát triển, duy trì hệ thống thông tin;

h) Quản lý sự cố an toàn thông tin mạng;

i) Bảo đảm hoạt động liên tục của hệ thống thông tin;

k) Kiểm tra, báo cáo hoạt động thông tin.

3. Đơn vị phải rà soát, chỉnh sửa, hoàn thiện quy chế an toàn, bảo mật hệ thống thông tin tối thiểu mỗi năm một lần, bảo đảm sự đầy đủ của quy chế theo các quy định tại Thông tư này. Khi phát hiện những bất cập, bất hợp lý gây ra mất an toàn hệ thống thông tin hoặc theo yêu cầu của cơ quan có thẩm quyền, đơn vị phải tiến hành chỉnh sửa, bổ sung ngay quy chế an toàn, bảo mật hệ thống thông tin đã ban hành.

Chương II

CÁC QUY ĐỊNH VỀ BẢO ĐẢM AN TOÀN, BẢO MẬT HỆ THỐNG THÔNG TIN

Mục 1. QUẢN LÝ TÀI SẢN CÔNG NGHỆ THÔNG TIN

Điều 6. Quản lý tài sản công nghệ thông tin

1. Các loại tài sản công nghệ thông tin bao gồm:

a) Tài sản thông tin: các dữ liệu, thông tin ở dạng số; tài liệu được thể hiện bằng văn bản giấy hoặc các phương tiện khác liên quan đến hệ thống thông tin;

b) Tài sản vật lý: các thiết bị công nghệ thông tin, phương tiện truyền thông và các thiết bị phục vụ cho hoạt động của hệ thống thông tin;

c) Tài sản phần mềm: các phần mềm hệ thống, phần mềm tiện ích, phần mềm lớp giữa, cơ sở dữ liệu, chương trình ứng dụng và công cụ phát triển.

2. Đơn vị thực hiện việc lập danh sách của tất cả các tài sản công nghệ thông tin, rà soát và cập nhật danh sách này tối thiểu một năm một lần.

3. Đơn vị phải phân loại và đánh giá mức độ rủi ro, tầm quan trọng dựa trên yêu cầu về tính bí mật, tính toàn vẹn, tính sẵn sàng cho việc sử dụng của tài sản công nghệ thông tin để thực hiện các biện pháp quản lý, bảo vệ phù hợp.

4. Căn cứ phân loại tài sản công nghệ thông tin tại Khoản 1 Điều này, đơn vị xây dựng và thực hiện các quy định về quản lý và sử dụng tài sản theo quy định tại Điều 7, 8, 9, 10 và Điều 11 Thông tư này.

Điều 7. Quản lý tài sản thông tin

1. Đơn vị phải lập danh mục, quy định về thẩm quyền, trách nhiệm của người được tiếp cận, khai thác đối với các loại tài sản thông tin.

2. Đơn vị phải phân loại tài sản thông tin theo quy định tại Khoản 1 Điều 4 Thông tư này.

3. Đối với tài sản thông tin thuộc loại thông tin bí mật, đơn vị phải thực hiện mã hóa hoặc có biện pháp bảo vệ để bảo mật thông tin trong quá trình trao đổi, lưu trữ.

4. Đối với hệ thống thông tin từ cấp độ 4 trở lên, đơn vị phải có phương án chống thất thoát dữ liệu.

Điều 8. Quản lý tài sản vật lý

1. Danh sách tài sản vật lý được lập với các thông tin cơ bản gồm: tên tài sản, giá trị, mức độ quan trọng, vị trí lắp đặt, mục đích sử dụng, tình trạng sử dụng, thông tin về bản quyền (nếu có).

2. Tài sản vật lý phải được giao, gán trách nhiệm cho cá nhân hoặc tập thể quản lý, sử dụng.

3. Tài sản vật lý khi mang ra khỏi đơn vị phải được sự phê duyệt của thủ trưởng đơn vị hoặc người được thủ trưởng ủy quyền. Đối với tài sản vật lý có chứa thông tin bí mật trước khi mang ra khỏi đơn vị phải thực hiện biện pháp bảo vệ để bảo mật thông tin lưu trữ trên tài sản đó.

4. Tài sản vật lý có lưu trữ thông tin bí mật khi thay đổi mục đích sử dụng hoặc thanh lý, đơn vị phải thực hiện các biện pháp xóa, tiêu hủy thông tin bí mật đó bảo đảm không có khả năng phục hồi. Trường hợp không thể tiêu hủy được thông tin bí mật, đơn vị phải thực hiện biện pháp tiêu hủy cấu phần lưu trữ dữ liệu trên tài sản đó.

5. Đối với tài sản vật lý là thiết bị di động, vật mang tin, ngoài các quy định tại Điều này, đơn vị xây dựng và thực hiện quản lý theo quy định tại Điều 10, Điều 11 Thông tư này.

6. Đơn vị phải xây dựng kế hoạch, quy trình bảo trì và tổ chức thực hiện đối với từng loại tài sản vật lý được quy định tại Điều 43 Thông tư này.

Điều 9. Quản lý tài sản phần mềm

1. Danh sách tài sản phần mềm được lập với các thông tin cơ bản gồm: tên tài sản, giá trị, mức độ quan trọng, mục đích sử dụng, phạm vi sử dụng, chủ thể quản lý, thông tin về bản quyền, phiên bản, nơi lưu giữ.

2. Đơn vị phải xây dựng kế hoạch, quy trình bảo trì và tổ chức thực hiện đối với từng loại tài sản phần mềm được quy định tại Điều 43 Thông tư này.

Điều 10. Quản lý sử dụng thiết bị di động

1. Các thiết bị di động khi kết nối vào hệ thống mạng nội bộ của đơn vị phải được đăng ký để kiểm soát.

2. Giới hạn phạm vi kết nối từ thiết bị di động đến các dịch vụ, hệ thống thông tin của đơn vị; kiểm soát các kết nối từ thiết bị di động tới các hệ thống thông tin được phép sử dụng tại đơn vị.

3. Đơn vị phải quy định trách nhiệm của cán bộ, nhân viên sử dụng thiết bị di động để phục vụ công việc.

4. Khi sử dụng thiết bị di động để phục vụ công việc, Đơn vị phải áp dụng các biện pháp kỹ thuật tối thiểu sau:

a) Kiểm soát các phần mềm được cài đặt; cập nhật các phiên bản phần mềm và các bản vá lỗi trên thiết bị di động;

b) Áp dụng các tính năng bảo vệ thông tin nội bộ, thông tin bí mật (nếu có); mã khóa bí mật; phần mềm phòng chống mã độc và các lỗi bảo mật khác;

c) Thiết lập chức năng vô hiệu hóa, khóa thiết bị hoặc xóa dữ liệu từ xa trong trường hợp thất lạc hoặc bị mất cắp;

d) Sao lưu dữ liệu trên thiết bị di động nhằm bảo vệ, khôi phục dữ liệu khi cần thiết;

đ) Thực hiện các biện pháp bảo vệ dữ liệu khi bảo hành, bảo trì, sửa chữa thiết bị di động.

Điều 11. Quản lý sử dụng vật mang tin

Đơn vị có trách nhiệm:

1. Kiểm soát việc đấu nối, gỡ bỏ vật mang tin với thiết bị thuộc hệ thống thông tin.

2. Triển khai các biện pháp bảo đảm an toàn vật mang tin khi vận chuyển, lưu trữ.

3. Thực hiện biện pháp bảo vệ đối với thông tin bí mật chứa trong vật mang tin.

4. Khi không sử dụng hoặc sử dụng vật mang tin chứa thông tin bí mật cho mục đích khác phải thực hiện xóa, tiêu hủy thông tin bí mật để bảo đảm không có khả năng phục hồi.

5. Quy định trách nhiệm của cá nhân trong quản lý, sử dụng vật mang tin.

Mục 2. QUẢN LÝ NGUỒN NHÂN LỰC

Điều 12. Tổ chức nguồn nhân lực

1. Thủ trưởng đơn vị (hoặc người đại diện hợp pháp) phải trực tiếp tham gia chỉ đạo và có trách nhiệm trong công tác xây dựng chiến lược, kế hoạch về bảo đảm an toàn thông tin; ứng cứu các sự cố an toàn thông tin mạng xảy ra tại đơn vị.

2. Đối với đơn vị có hệ thống thông tin cấp độ 3 trở lên tại Việt Nam hoặc trực tiếp quản trị vận hành hệ thống thông tin cấp độ 3 trở lên, đơn vị phải thực hiện:

a) Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin có chức năng, nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng cho đơn vị.

b) Thành lập hoặc chỉ định bộ phận chuyên trách để quản lý vận hành trung tâm điều hành an ninh mạng đáp ứng yêu cầu quy định tại Điều 45 Thông tư này (không áp dụng với tổ chức cung ứng dịch vụ trung gian thanh toán).

c) Đơn vị phải tách biệt nhân sự giữa:

- Phát triển với quản trị hệ thống thông tin;

- Phát triển với vận hành hệ thống thông tin;

- Quản trị với vận hành hệ thống thông tin;

- Kiểm tra về an toàn bảo mật hệ thống thông tin với quản trị, vận hành hệ thống thông tin.

Điều 13. Tuyển dụng hoặc phân công nhiệm vụ

1. Xác định trách nhiệm trong việc bảo đảm an toàn, bảo mật hệ thống thông tin của vị trí cần tuyển dụng hoặc phân công.

2. Trước khi phân công nhân sự làm việc tại các vị trí quan trọng của hệ thống thông tin như: vận hành hệ thống thông tin từ cấp độ 4 trở lên, quản trị hệ thống thông tin, đơn vị phải xem xét, đánh giá nghiêm ngặt tư cách đạo đức, trình độ chuyên môn thông qua lý lịch, lý lịch tư pháp.

3. Yêu cầu người được tuyển dụng phải cam kết bảo mật thông tin bằng văn bản riêng hoặc cam kết trong hợp đồng lao động. Cam kết này phải bao gồm các điều khoản về trách nhiệm bảo đảm an toàn, bảo mật hệ thống thông tin trong và sau khi làm việc tại đơn vị.

4. Nhân sự mới tuyển dụng phải được đào tạo, phổ biến các quy định của đơn vị về an toàn, bảo mật hệ thống thông tin.

Điều 14. Quản lý sử dụng nguồn nhân lực

Đơn vị có trách nhiệm thực hiện:

1. Phổ biến và cập nhật các quy định về an toàn, bảo mật hệ thống thông tin cho tất cả cán bộ, nhân viên tối thiểu mỗi năm một lần.

2. Kiểm tra việc thi hành các quy định về an toàn, bảo mật hệ thống thông tin đối với cá nhân, tổ chức trực thuộc tối thiểu mỗi năm một lần.

3. Áp dụng các biện pháp xử lý kỷ luật đối với cán bộ, nhân viên của đơn vị vi phạm quy định an toàn, bảo mật hệ thống thông tin theo quy định của pháp luật.

Điều 15. Chấm dứt hoặc thay đổi công việc

Khi cán bộ, nhân viên chấm dứt hoặc thay đổi công việc, đơn vị phải:

1. Xác định rõ trách nhiệm của cán bộ, nhân viên và các bên liên quan trong quản lý, vận hành và khai thác các hệ thống thông tin.

2. Làm biên bản bàn giao tài sản công nghệ thông tin với cán bộ, nhân viên.

3. Thu hồi quyền truy cập hệ thống thông tin của cán bộ, nhân viên nghỉ việc.

4. Thay đổi quyền truy cập hệ thống thông tin của cán bộ, nhân viên thay đổi công việc bảo đảm nguyên tắc quyền vừa đủ để thực hiện nhiệm vụ được giao.

5. Rà soát, kiểm tra đối chiếu định kỳ tối thiểu sáu tháng một lần giữa bộ phận quản lý nhân sự và bộ phận quản lý cấp phát, thu hồi quyền truy cập hệ thống thông tin nhằm bảo đảm tuân thủ Khoản 3, Khoản 4 Điều này.

6. Thông báo cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) các trường hợp cá nhân làm việc trong lĩnh vực công nghệ thông tin bị kỷ luật với hình thức sa thải, buộc thôi việc hoặc bị truy tố trước pháp luật do vi phạm quy định về an toàn bảo mật hệ thống thông tin.

Mục 3. BẢO ĐẢM AN TOÀN VỀ MẶT VẬT LÝ VÀ MÔI TRƯỜNG NƠI LẮP ĐẶT TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN

Điều 16. Yêu cầu chung đối với nơi lắp đặt trang thiết bị công nghệ thông tin

1. Bảo vệ bằng tường bao, cổng ra vào hoặc có các biện pháp kiểm soát, hạn chế rủi ro xâm nhập trái phép.

2. Thực hiện các biện pháp phòng chống nguy cơ do cháy nổ, ngập lụt.

3. Các khu vực có yêu cầu cao về an toàn, bảo mật như khu vực lắp đặt máy chủ, thiết bị lưu trữ, thiết bị an ninh bảo mật, thiết bị truyền thông phải được cách ly với khu vực dùng chung, phân phối, chuyển hàng; ban hành nội quy, hướng dẫn làm việc và áp dụng biện pháp kiểm soát ra vào khu vực đó.

Điều 17. Yêu cầu đối với trung tâm dữ liệu

Ngoài việc bảo đảm yêu cầu tại Điều 16 Thông tư này, Trung tâm dữ liệu phải bảo đảm các yêu cầu sau:

1. Cổng vào ra tòa nhà trung tâm dữ liệu phải có người kiểm soát 24/7.

2. Cửa vào ra trung tâm dữ liệu phải có biện pháp bảo vệ và giám sát 24/7. Cửa vào ra phải chắc chắn, có khả năng chống cháy, sử dụng ít nhất hai loại khóa khác nhau (khóa cơ, thẻ, mã số, sinh trắc học).

3. Khu vực lắp đặt thiết bị phải được tránh nắng chiếu rọi trực tiếp, chống thấm dột nước, tránh ngập lụt. Khu vực lắp đặt thiết bị của hệ thống thông tin từ cấp độ 3 trở lên phải được bảo vệ, giám sát 24/7.

4. Có tối thiểu một nguồn điện lưới và một nguồn điện máy phát. Có hệ thống chuyển mạch tự động giữa hai nguồn điện, khi cắt điện lưới máy phát phải tự động khởi động cấp nguồn trong thời gian tối đa ba phút. Nguồn điện phải đấu nối qua hệ thống UPS để cấp nguồn cho thiết bị, bảo đảm khả năng duy trì hoạt động của thiết bị trong thời gian tối thiểu 30 phút.

5. hệ thống điều hòa không khí bảo đảm khả năng hoạt động liên tục.

6. Có hệ thống chống sét trực tiếp và lan truyền.

7. Có hệ thống báo cháy và chữa cháy tự động bảo đảm khi chữa cháy không làm hư hỏng thiết bị lắp đặt bên trong.

8. Có hệ thống sàn kỹ thuật hoặc lớp cách ly chống nhiễm điện.

9. Có hệ thống camera giám sát, lưu trữ dữ liệu tối thiểu 100 ngày.

10. Có hệ thống theo dõi, kiểm soát nhiệt độ, độ ẩm.

11. Có hồ sơ nhật ký kiểm soát vào ra trung tâm dữ liệu.

Điều 18. An toàn, bảo mật tài sản vật lý

1. Tài sản vật lý phải được bố trí, lắp đặt tại các địa điểm an toàn và được bảo vệ để giảm thiểu những rủi ro do các đe dọa, hiểm họa từ môi trường và các xâm nhập trái phép.

2. Tài sản vật lý thuộc hệ thống thông tin từ cấp độ 3 trở lên phải được bảo đảm về nguồn điện và các hệ thống hỗ trợ khi nguồn điện chính bị gián đoạn. Phải có biện pháp chống quá tải hay sụt giảm điện áp, chống sét lan truyền; có hệ thống tiếp đất; có hệ thống máy phát điện dự phòng và hệ thống lưu điện bảo đảm thiết bị hoạt động liên tục.

3. Dây cáp cung cấp nguồn điện và dây cáp truyền thông sử dụng trong truyền tải dữ liệu hay những dịch vụ hỗ trợ thông tin phải được bảo vệ khỏi sự xâm phạm hoặc hư hại.

4. Tất cả các thiết bị lưu trữ dữ liệu phải được kiểm tra để bảo đảm các thông tin nội bộ và thông tin mật và phần mềm có bản quyền lưu trữ trên thiết bị được xóa bỏ hoặc ghi đè không có khả năng khôi phục trước khi loại bỏ hoặc tái sử dụng cho mục đích khác.

5. Các trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên ngoài trụ sở của đơn vị phải có biện pháp giám sát, bảo vệ an toàn phòng chống truy cập bất hợp pháp.

Mục 4. QUẢN LÝ VẬN HÀNH VÀ TRAO ĐỔI THÔNG TIN

Điều 19. Trách nhiệm quản lý và quy trình vận hành của các đơn vị

1. Ban hành các quy trình vận hành hệ thống thông tin, tối thiểu bao gồm: Quy trình khởi động, đóng hệ thống; quy trình sao lưu, phục hồi dữ liệu; quy trình vận hành ứng dụng; quy trình xử lý sự cố; quy trình giám sát và ghi nhật ký hoạt động của hệ thống. Trong đó phải xác định rõ phạm vi, trách nhiệm của người sử dụng, vận hành hệ thống. Định kỳ tối thiểu mỗi năm một lần đơn vị phải thực hiện rà soát, cập nhật, bổ sung các quy trình vận hành hệ thống thông tin.

2. Đơn vị phải tổ chức triển khai các quy trình đến đúng đối tượng tham gia và giám sát tuân thủ việc thực hiện các quy trình đã ban hành.

3. Hệ thống thông tin từ cấp độ 2 trở lên khi vận hành chính thức phải đáp ứng yêu cầu:

a) Tách biệt với môi trường phát triển và môi trường kiểm tra, thử nghiệm;

b) Áp dụng các giải pháp an ninh, an toàn;

c) Không cài đặt các công cụ, phương tiện phát triển ứng dụng;

d) Loại bỏ các tham số hệ thống, phần mềm hệ thống, phần mềm tiện ích không sử dụng cho hệ thống thông tin.

4. Đối với hệ thống thông tin xử lý giao dịch khách hàng:

a) Không để một cá nhân làm toàn bộ các khâu từ khởi tạo đến phê duyệt một giao dịch;

b) Áp dụng các biện pháp bảo đảm tính toàn vẹn dữ liệu giao dịch;

c) Mọi thao tác trên hệ thống phải được lưu vết, sẵn sàng cho kiểm tra, kiểm soát khi cần thiết.

Điều 20. Lập kế hoạch và chấp nhận hệ thống thông tin

1. Đơn vị phải xây dựng tiêu chuẩn, định mức, yêu cầu kỹ thuật để bảo đảm hệ thống thông tin hoạt động bình thường đối với tất cả các hệ thống hiện có và các hệ thống thông tin trước khi đưa vào áp dụng chính thức.

2. Căn cứ các tiêu chuẩn, định mức, yêu cầu kỹ thuật đã xây dựng, đơn vị thực hiện giám sát, tối ưu hiệu suất của hệ thống thông tin; đánh giá khả năng đáp ứng, tình trạng hoạt động, cấu hình hệ thống của hệ thống thông tin để dự báo, lập kế hoạch mở rộng, nâng cấp bảo đảm khả năng đáp ứng trong tương lai.

3. Đơn vị phải rà soát, cập nhật tiêu chuẩn, định mức, yêu cầu kỹ thuật khi có sự thay đổi đối với hệ thống thông tin. Thực hiện đào tạo và chuyển giao kỹ thuật đối với những nội dung thay đổi cho các nhân sự có liên quan.

Điều 21. Sao lưu dự phòng

1. Lập danh sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo mức độ quan trọng, thời gian lưu trữ, định kỳ sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.

2. Đối với hệ thống thông tin từ cấp độ 2 trở lên, đơn vị phải có phương án sử dụng hệ thống hoặc phương tiện lưu trữ độc lập để sao lưu dự phòng các dữ liệu quan trọng trên máy chủ.

3. Dữ liệu của các hệ thống thông tin từ cấp độ 3 trở lên phải có phương án tự động sao lưu theo định kỳ hàng ngày và kết quả sao lưu phải được lưu thành hai bản, một bản sao lưu ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương tiện lưu trữ khác) và cất giữ, bảo quản an toàn tách rời với khu vực lắp đặt hệ thống thông tin được sao lưu.

4. Đối với hệ thống thông tin từ cấp độ 3 trở lên, đơn vị phải kiểm tra, phục hồi dữ liệu sao lưu từ phương tiện lưu trữ ngoài tối thiểu sáu tháng một lần.

5. Đơn vị có cả hệ thống thông tin chính và dự phòng đặt ngoài lãnh thổ Việt Nam phải sao lưu hàng ngày đối với dữ liệu điện tử về các hoạt động giao dịch của đơn vị và lưu trữ tại Việt Nam. Đơn vị phải bảo đảm khả năng tra cứu được giao dịch từ dữ liệu điện tử đã lưu trữ tại Việt Nam và kiểm tra khả năng tra cứu tối thiểu sáu tháng một lần.

Điều 22. Quản lý về an toàn, bảo mật mạng

1. Xây dựng quy định về quản lý an toàn, bảo mật mạng và quản lý các thiết bị đầu cuối của toàn bộ hệ thống mạng.

2. Hệ thống mạng phải được chia tách thành các vùng mạng khác nhau theo đối tượng sử dụng, mục đích sử dụng và hệ thống thông tin. Các vùng mạng quan trọng phải được lắp đặt các thiết bị tường lửa để kiểm soát an toàn bảo mật. Mạng không dây phải được thiết lập phân vùng mạng riêng, tách biệt với các vùng mạng chức năng.

3. Lập, lưu trữ hồ sơ về sơ đồ logic và vật lý đối với hệ thống mạng máy tính, bao gồm cả mạng diện rộng (WAN/Intranet) và mạng cục bộ (LAN).

4. Trang bị các giải pháp an ninh mạng để kiểm soát, phát hiện và ngăn chặn kịp thời các kết nối, truy cập không được phép vào hệ thống mạng.

5. Có phương án cân bằng tải và phương án ứng phó tấn công từ chối dịch vụ đối với các hệ thống thông tin từ cấp độ 3 trở lên.

6. Thiết lập, cấu hình đầy đủ các tính năng của hệ thống an ninh mạng. Thực hiện các biện pháp, giải pháp để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng về mặt kỹ thuật của hệ thống mạng. Thường xuyên kiểm tra, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.

Điều 23. Trao đổi thông tin

Đơn vị có trách nhiệm:

1. Ban hành quy định về trao đổi thông tin tối thiểu gồm: Loại thông tin trao đổi; quyền và trách nhiệm của cá nhân khi tiếp cận thông tin; phương tiện trao đổi thông tin; biện pháp bảo đảm tính toàn vẹn, bảo mật khi truyền nhận, xử lý, lưu trữ thông tin; chế độ bảo quản thông tin.

2. Các thông tin bí mật phải được mã hóa hoặc áp dụng các biện pháp bảo mật thông tin trước khi trao đổi.

3. Thực hiện các biện pháp quản lý, giám sát và kiểm soát chặt chẽ các trang thông tin điện tử cung cấp thông tin, dịch vụ, giao dịch trực tuyến cho khách hàng.

4. Có văn bản thỏa thuận cho việc trao đổi thông tin với bên ngoài. Xác định trách nhiệm và nghĩa vụ pháp lý của các bên tham gia.

5. Thực hiện biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi thông tin nội bộ nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp các thông tin bí mật.

Điều 24. Quản lý dịch vụ giao dịch trực tuyến

1. Yêu cầu đối với hệ thống thông tin phục vụ cho việc cung cấp dịch vụ giao dịch trực tuyến cho khách hàng:

a) Phải bảo đảm tính sẵn sàng cao và có khả năng phục hồi nhanh chóng;

b) Dữ liệu trên đường truyền phải bảo đảm tính bí mật, tính toàn vẹn và phải được truyền đầy đủ, đúng địa chỉ, tránh bị nhân bản một cách trái phép;

c) Đơn vị phải đánh giá mức độ rủi ro của giao dịch theo từng loại khách hàng, loại giao dịch, hạn mức giao dịch để cung cấp giải pháp xác thực giao dịch phù hợp cho khách hàng lựa chọn. Hạn mức giao dịch và biện pháp xác thực tương ứng theo quy định của Thống đốc Ngân hàng Nhà nước trong từng thời kỳ;

d) Trang thông tin điện tử giao dịch trực tuyến phải được chứng thực chống giả mạo và phải được áp dụng các biện pháp bảo vệ nhằm ngăn chặn, chống sửa đổi trái phép.

2. Xác thực giao dịch của khách hàng phải được thực hiện trực tiếp tại hệ thống thông tin của đơn vị. Trường hợp đơn vị sử dụng dịch vụ của bên thứ ba phải có tối thiểu một yếu tố xác thực do đơn vị quản lý.

3. Kiểm soát chặt chẽ việc truy cập vào hệ thống giao dịch trực tuyến từ bên trong mạng nội bộ.

4. Hệ thống dịch vụ giao dịch trực tuyến phải được giám sát chặt chẽ có khả năng phát hiện, cảnh báo về:

a) Các giao dịch đáng ngờ, gian lận dựa vào việc xác định thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần xác thực sai quy định và các dấu hiệu bất thường khác;

b) Hoạt động bất thường của hệ thống;

c) Các cuộc tấn công từ chối dịch vụ (DoS - Denial of Service attack), tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service attack).

5. Khách hàng trước khi tham gia sử dụng dịch vụ giao dịch trực tuyến phải được cảnh bảo rủi ro, hướng dẫn các biện pháp an toàn, bảo mật.

6. Khi cung cấp phần mềm ứng dụng giao dịch trực tuyến trên Internet phải áp dụng các biện pháp bảo đảm tính toàn vẹn của phần mềm.

Điều 25. Giám sát và ghi nhật ký hoạt động của hệ thống thông tin

1. Ghi và lưu trữ nhật ký về hoạt động của hệ thống thông tin và người sử dụng, các lỗi phát sinh, các sự cố an toàn thông tin mạng. Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên phải được lưu trữ tập trung tối thiểu một năm.

2. Bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo và truy cập trái phép. Người quản trị hệ thống và người sử dụng không được xóa hay sửa đổi nhật ký hệ thống ghi lại các hoạt động của chính họ.

3. Thực hiện việc đồng bộ thời gian giữa các hệ thống thông tin.

Điều 26. Phòng chống mã độc

Xây dựng và thực hiện quy định về phòng chống mã độc đáp ứng các yêu cầu cơ bản sau:

1. Xác định trách nhiệm của người sử dụng và các bộ phận liên quan trong công tác phòng chống mã độc.

2. Triển khai biện pháp, giải pháp phòng chống mã độc cho toàn bộ hệ thống thông tin của đơn vị.

3. Cập nhật mẫu mã độc và phần mềm phòng chống mã độc mới.

4. Kiểm tra, diệt mã độc đối với vật mang tin nhận từ bên ngoài trước khi sử dụng.

5. Kiểm soát việc cài đặt phần mềm bảo đảm tuân thủ theo quy chế an toàn, bảo mật của đơn vị.

6. Kiểm soát thư điện tử lạ, các tệp tin đính kèm hoặc các liên kết trong các thư lạ.

Mục 5. CÁC BIỆN PHÁP QUẢN LÝ TRUY CẬP

Điều 27. Yêu cầu đối với kiểm soát truy cập

1. Quy định về quản lý truy cập đối với người sử dụng, nhóm người sử dụng, các thiết bị, công cụ sử dụng để truy cập bảo đảm đáp ứng yêu cầu nghiệp vụ và yêu cầu an toàn, bảo mật, bao gồm các nội dung cơ bản sau:

a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập của người sử dụng;

b) Mỗi tài khoản truy cập hệ thống phải được gán cho một người sử dụng duy nhất. Trong trường hợp chia sẻ tài khoản dùng chung để truy cập hệ thống thông tin phải được phê duyệt bởi cấp có thẩm quyền tại đơn vị;

c) Đối với hệ thống thông tin từ cấp độ 3 trở lên, phải giới hạn và kiểm soát các truy cập sử dụng tài khoản có quyền quản trị:

- Thiết lập cơ chế kiểm soát tài khoản có quyền quản trị để bảo đảm không một cá nhân có thể tự ý sử dụng khi chưa được cấp có thẩm quyền phê duyệt;

- Phải có biện pháp giám sát việc sử dụng tài khoản có quyền quản trị;

- Việc sử dụng tài khoản có quyền quản trị phải được giới hạn trong khoảng thời gian đủ để thực hiện công việc và phải được thu hồi ngay sau khi kết thúc công việc.

d) Quản lý, cấp phát mã khóa bí mật về truy cập hệ thống thông tin;

đ) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng;

e) Yêu cầu, điều kiện an toàn, bảo mật đối với các thiết bị, công cụ sử dụng để truy cập.

2. Quy định về quản lý mã khóa bí mật phải đáp ứng các yêu cầu sau:

a) Mã khóa bí mật phải có độ dài từ sáu ký tự trở lên, cấu tạo gồm các ký tự số, chữ hoa, chữ thường và các ký tự đặc biệt khác nếu hệ thống cho phép. Các yêu cầu mã khóa bí mật hợp lệ phải được kiểm tra tự động khi thiết lập mã khóa bí mật;

b) Các mã khóa bí mật mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm, cơ sở dữ liệu phải được thay đổi trước khi đưa vào sử dụng;

c) Phần mềm quản lý mã khóa bí mật phải có các chức năng: Thông báo người sử dụng thay đổi mã khóa bí mật sắp hết hạn sử dụng; huỷ hiệu lực của mã khóa bí mật hết hạn sử dụng; cho phép thay đổi ngay mã khóa bí mật bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng; ngăn chặn việc sử dụng lại mã khóa bí mật cũ trong một khoảng thời gian nhất định.

3. Quy định trách nhiệm người sử dụng khi được cấp quyền truy cập: Sử dụng mã khóa bí mật đúng quy định; giữ bí mật mã khóa bí mật; sử dụng thiết bị, công cụ để truy cập theo đúng quy định; thoát khỏi hệ thống khi không làm việc trên hệ thống hoặc tạm thời không làm việc trên hệ thống.

Điều 28. Quản lý truy cập mạng nội bộ

1. Quy định quản lý truy cập mạng và các dịch vụ mạng gồm các nội dung cơ bản sau:

a) Các mạng và dịch vụ mạng được phép sử dụng, cách thức, phương tiện và các điều kiện an toàn bảo mật để truy cập;

b) Trách nhiệm của người quản trị, người truy cập;

c) Thủ tục cấp phát, thay đổi, thu hồi quyền kết nối;

d) Kiểm soát việc quản trị, truy cập, sử dụng mạng.

2. Thực hiện các biện pháp kiểm soát chặt chẽ các kết nối từ mạng không tin cậy vào mạng nội bộ của đơn vị bảo đảm an toàn, bảo mật.

3. Kiểm soát việc cài đặt, sử dụng các công cụ phần mềm hỗ trợ truy cập từ xa.

4. Kiểm soát truy cập các cổng dùng để cấu hình và quản trị thiết bị mạng.

5. Cấp quyền truy cập mạng và dịch vụ mạng phải bảo đảm nguyên tắc quyền vừa đủ để thực hiện nhiệm vụ được giao.

6. Yêu cầu sử dụng biện pháp xác thực đa thành tố đối với truy cập từ mạng không tin cậy vào các hệ thống thông tin từ cấp độ 3 trở lên.

Điều 29. Quản lý truy cập hệ thống thông tin và ứng dụng

1. Quy định giới hạn và kiểm soát chặt chẽ những phần mềm tiện ích có khả năng ảnh hưởng đến hệ thống và chương trình ứng dụng khác.

2. Quy định thời gian truy cập vào ứng dụng tương ứng với mức độ rủi ro. Tự động ngắt phiên làm việc sau một thời gian không sử dụng nhằm ngăn chặn sự truy cập trái phép.

3. Quản lý và phân quyền truy cập thông tin và ứng dụng bảo đảm nguyên tắc cấp quyền vừa đủ để thực hiện nhiệm vụ được giao của người sử dụng:

a) Phân quyền truy cập đến từng thư mục, chức năng của chương trình;

b) Phân quyền đọc, ghi, xóa, thực thi đối với thông tin, dữ liệu, chương trình.

4. Các hệ thống thông tin sử dụng chung nguồn tài nguyên phải được người có thẩm quyền phê duyệt.

5. Đối với máy chủ thuộc hệ thống thông tin từ cấp độ 3 trở lên, đơn vị phải có phương án quản lý xác thực tập trung và chống đăng nhập tự động.

Điều 30. Quản lý kết nối Internet

1. Quy định quản lý kết nối, truy cập sử dụng Internet gồm các nội dung cơ bản sau:

a) Trách nhiệm cá nhân và các bộ phận có liên quan trong khai thác sử dụng Internet;

b) Đối tượng người dùng được phép truy cập, kết nối sử dụng Internet;

c) Các hành vi bị cấm, hạn chế;

d) Kiểm soát kết nối, truy cập sử dụng Internet;

đ) Các biện pháp bảo đảm an toàn thông tin khi kết nối Internet.

2. Thực hiện quản lý tập trung, thống nhất các cổng kết nối Internet trong toàn đơn vị. Kiểm soát các truy cập của khách hàng ra Internet thông qua cổng kết nối do đơn vị cung cấp.

3. Triển khai các giải pháp an ninh mạng tại các cổng kết nối Internet để bảo đảm an toàn trước các hiểm họa tấn công từ Internet vào mạng nội bộ của đơn vị.

4. Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng và các tấn công, truy cập bất hợp pháp vào hệ thống mạng nội bộ của đơn vị thông qua cổng kết nối Internet.

Mục 6. QUẢN LÝ SỬ DỤNG DỊCH VỤ CÔNG NGHỆ THÔNG TIN CỦA BÊN THỨ BA

Điều 31. Các nguyên tắc chung về sử dụng dịch vụ của bên thứ ba

Việc sử dụng dịch vụ công nghệ thông tin của bên thứ ba phải bảo đảm các nguyên tắc sau đây:

1. Việc sử dụng dịch vụ công nghệ thông tin không làm suy giảm khả năng cung cấp dịch vụ liên tục của đơn vị cho khách hàng.

2. Việc sử dụng dịch vụ công nghệ thông tin không làm suy giảm việc kiểm soát quy trình nghiệp vụ của đơn vị.

3. Việc sử dụng dịch vụ công nghệ thông tin không làm thay đổi trách nhiệm của đơn vị trong việc bảo đảm an toàn, bảo mật thông tin.

4. Đơn vị không được thuê bên thứ ba thực hiện toàn bộ công việc quản trị đối với các hệ thống thông tin từ cấp độ 3 trở lên.

Điều 32. Trước khi sử dụng dịch vụ của bên thứ ba

Đơn vị phải thực hiện:

1. Đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động trước khi sử dụng dịch vụ công nghệ thông tin bao gồm các nội dung tối thiểu sau:

a) Nhận diện rủi ro, phân tích, ước lượng mức độ tổn hại, mối đe dọa đến an toàn, bảo mật hệ thống thông tin;

b) Khả năng kiểm soát các quy trình nghiệp vụ, khả năng cung cấp dịch vụ liên tục cho khách hàng, khả năng thực hiện nghĩa vụ cung cấp thông tin cho Ngân hàng Nhà nước;

c) Xác định rõ vai trò, trách nhiệm của các bên liên quan trong việc bảo đảm chất lượng dịch vụ;

d) Xây dựng các biện pháp nhằm giảm thiểu rủi ro, biện pháp phòng ngừa, ứng cứu, khắc phục sự cố.

đ) Rà soát và điều chỉnh chính sách quản lý rủi ro.

2. Xây dựng các tiêu chí lựa chọn nhà cung cấp dịch vụ đáp ứng yêu cầu quy định tại Điều 33.

3. Trong trường hợp sử dụng dịch vụ điện toán đám mây, ngoài các yêu cầu tại Khoản 1, Khoản 2 Điều này, đơn vị phải:

a) Phân loại hoạt động, nghiệp vụ dự kiến triển khai trên điện toán đám mây dựa trên đánh giá tác động của hoạt động, nghiệp vụ đó với hoạt động của đơn vị. Đối với các cấu phần của hệ thống thông tin từ cấp độ 3 trở lên thì đơn vị phải có phương án dự phòng. Phương án dự phòng phải được kiểm thử và đánh giá sẵn sàng thay thế cho các hoạt động, nghiệp vụ triển khai trên điện toán đám mây.

b) Rà soát, bổ sung, áp dụng các biện pháp bảo đảm an toàn bảo mật thông tin của đơn vị, giới hạn truy cập từ điện toán đám mây đến các hệ thống thông tin của đơn vị.

Điều 33. Tiêu chí lựa chọn bên thứ ba

Tiêu chí lựa chọn bên thứ ba bao gồm các nội dung tối thiểu sau:

1. Bên thứ ba phải có các cấu phần của hệ thống thông tin tương ứng với dịch vụ mà đơn vị sử dụng tuân thủ các quy định hiện hành của Nhà nước và của Ngân hàng Nhà nước về bảo đảm an toàn, bảo mật hệ thống thông tin trong hoạt động ngân hàng.

2. Trường hợp sử dụng dịch vụ điện toán đám mây, tiêu chí lựa chọn phải bổ sung thêm các nội dung sau:

a) Bên thứ ba là doanh nghiệp được thành lập và hoạt động theo pháp luật;

b) Có hạ tầng công nghệ thông tin tương ứng với dịch vụ mà đơn vị sử dụng đáp ứng tối thiểu một trong các yêu cầu sau:

- Các quy định hiện hành của Nhà nước và của Ngân hàng Nhà nước;

- Có chứng nhận quốc tế còn hiệu lực về bảo đảm an toàn bảo mật hệ thống thông tin.

c) Trường hợp đơn vị sử dụng dịch vụ điện toán đám mây của bên thứ ba bên ngoài lãnh thổ Việt Nam phục vụ cho hệ thống thông tin từ cấp độ 2 trở lên, đơn vị phải bổ sung các tiêu chí về:

- Chính sách, điều kiện kinh tế và pháp lý của quốc gia hoặc vùng lãnh thổ nơi bên thứ ba đăng ký kinh doanh và lấy ý kiến đánh giá về pháp lý đối với các điều khoản tại hợp đồng của ít nhất một (01) tổ chức tư vấn pháp lý hợp pháp có kinh nghiệm tư vấn các hợp đồng quốc tế;

- Vị trí cụ thể của các trung tâm dữ liệu (thành phố, quốc gia).

Điều 34. Hợp đồng sử dụng dịch vụ

Hợp đồng sử dụng dịch vụ ký kết với bên thứ ba phải có những điều khoản quy định những nội dung tối thiểu sau đây:

1. Cam kết của bên thứ ba về bảo đảm an toàn bảo mật hệ thống thông tin:

a) Đáp ứng yêu cầu quy định tại Điều 33 Thông tư này;

b) Không sao chép, thay đổi, sử dụng hay cung cấp dữ liệu của đơn vị cho các bên khác, trừ khi thực hiện theo yêu cầu của pháp luật Việt Nam. Bên thứ ba phải thông báo cho đơn vị trước khi cung cấp dữ liệu, trừ khi việc thông báo sẽ vi phạm pháp luật Việt Nam;

c) Phổ biến cho nhân sự tham gia thực hiện hợp đồng các quy định về bảo đảm an toàn thông tin của đơn vị, thực hiện các biện pháp giám sát bảo đảm tuân thủ.

2. Quy định cụ thể về thời gian tối đa có thể gián đoạn dịch vụ và thời gian khắc phục sự cố, các yêu cầu liên quan đến bảo đảm hoạt động liên tục (dự phòng tại chỗ, sao lưu dữ liệu, dự phòng thảm họa), các yêu cầu liên quan đến năng lực xử lý, tính toán, lưu trữ. Các biện pháp thực hiện khi chất lượng dịch vụ không được bảo đảm.

3. Trường hợp bên thứ ba sử dụng nhà thầu phụ không làm thay đổi trách nhiệm của bên thứ ba đối với sản phẩm, dịch vụ mà đơn vị sử dụng.

4. Dữ liệu phát sinh trong quá trình sử dụng dịch vụ là tài sản của đơn vị. Khi chấm dứt sử dụng dịch vụ:

a) Bên thứ ba thực hiện trả lại toàn bộ dữ liệu triển khai và dữ liệu phát sinh trong quá trình sử dụng dịch vụ;

b) Bên thứ ba cam kết hoàn thành việc xoá toàn bộ dữ liệu của đơn vị trong một khoảng thời gian xác định.

5. Bên thứ ba phải thông báo cho đơn vị khi phát hiện nhân sự vi phạm quy định về an toàn bảo mật đối với dịch vụ đơn vị sử dụng và quy định về bồi thường thiệt hại do nhân sự tham gia thực hiện hợp đồng gây ra.

6. Đối với hợp đồng sử dụng dịch vụ điện toán đám mây, ngoài các nội dung nêu trên, đơn vị phải bổ sung thêm những nội dung sau:

a) Bên thứ ba phải cung cấp báo cáo kiểm toán tuân thủ công nghệ thông tin do tổ chức kiểm toán độc lập thực hiện hàng năm trong thời gian thực hiện hợp đồng;

b) Bên thứ ba phải cung cấp: (i) Công cụ kiểm soát chất lượng dịch vụ đám mây; (ii) Quy trình giám sát, kiểm soát chất lượng dịch vụ đám mây;

c) Bên thứ ba phải minh bạch các vị trí (thành phố, quốc gia) đặt trung tâm dữ liệu bên ngoài lãnh thổ Việt Nam triển khai dịch vụ cho đơn vị;

d) Trách nhiệm bảo vệ dữ liệu, chống truy cập dữ liệu trái phép trên kênh phân phối dịch vụ từ bên thứ ba đến đơn vị;

đ) Bên thứ ba phải hỗ trợ, hợp tác điều tra trong trường hợp có yêu cầu từ các cơ quan chức năng có thẩm quyền của Việt Nam theo quy định của pháp luật;

e) Dữ liệu của đơn vị phải được tách biệt với dữ liệu khác sử dụng cùng nền tảng kỹ thuật do bên thứ ba cung cấp.

Điều 35. Trách nhiệm của đơn vị trong quá trình sử dụng dịch vụ của bên thứ ba

1. Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định của đơn vị về an toàn bảo mật hệ thống thông tin.

2. Có quy trình và bố trí nguồn lực để giám sát, kiểm soát các dịch vụ do bên thứ ba cung cấp bảo đảm chất lượng dịch vụ theo thỏa thuận đã ký kết; đối với dịch vụ điện toán đám mây, phải có công cụ để giám sát, kiểm soát chất lượng dịch vụ.

3. Áp dụng các quy định về bảo đảm an toàn bảo mật hệ thống thông tin của đơn vị đối với trang thiết bị, dịch vụ do bên thứ ba cung cấp được triển khai trên hạ tầng do đơn vị quản lý, sử dụng.

4. Quản lý các thay đổi đối với dịch vụ do bên thứ ba cung cấp bao gồm: thay đổi nhà cung cấp, thay đổi giải pháp, thay đổi phiên bản, thay đổi các nội dung quy định tại Điều 40 Thông tư này. Đánh giá đầy đủ tác động của việc thay đổi, bảo đảm an toàn khi được đưa vào sử dụng.

5. Áp dụng các biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba khi cho phép bên thứ ba truy cập vào hệ thống thông tin của đơn vị.

6. Giám sát nhân sự của bên thứ ba trong quá trình thực hiện hợp đồng. Khi phát hiện nhân sự bên thứ ba vi phạm quy định về an toàn bảo mật phải thông báo và phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời.

7. Thu hồi quyền truy cập hệ thống thông tin đã được cấp cho bên thứ ba, thay đổi các khoá, mã khóa bí mật nhận bàn giao từ bên thứ ba ngay sau khi hoàn thành công việc hoặc kết thúc hợp đồng.

8. Đối với hệ thống thông tin từ cấp độ 3 trở lên hoặc hệ thống thông tin sử dụng dịch vụ điện toán đám mây, phải đánh giá sự tuân thủ các quy định về bảo đảm an toàn bảo mật hệ thống thông tin của bên thứ ba theo đúng thỏa thuận đã ký kết. Thực hiện đánh giá sự tuân thủ định kỳ hàng năm hoặc đột xuất khi có nhu cầu. Việc đánh giá tuân thủ có thể sử dụng kết quả kiểm toán công nghệ thông tin của tổ chức kiểm toán độc lập.

Mục 7. TIẾP NHẬN, PHÁT TRIỂN, DUY TRÌ HỆ THỐNG THÔNG TIN

Điều 36. Yêu cầu về an toàn, bảo mật các hệ thống thông tin

Khi xây dựng mới hoặc cải tiến hệ thống thông tin, đơn vị phải thực hiện phân loại hệ thống thông tin theo cấp độ theo nguyên tắc tại Khoản 2 Điều 4 Thông tư này. Đối với hệ thống thông tin từ cấp độ 2 trở lên, đơn vị phải:

1. Có tài liệu thiết kế, mô tả về các phương án bảo đảm an toàn hệ thống thông tin. Trong đó các yêu cầu về an toàn, bảo mật được xây dựng đồng thời với việc đưa ra các yêu cầu kỹ thuật, nghiệp vụ.

2. Có phương án kiểm tra, xác minh hệ thống được triển khai tuân thủ theo đúng tài liệu thiết kế và yêu cầu bảo đảm an toàn thông tin trước khi nghiệm thu, bàn giao. Kết quả kiểm tra phải lập thành báo cáo và được thủ trưởng đơn vị phê duyệt trước khi đưa vào vận hành chính thức.

3. Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài theo quy định tại Điều 35 Thông tư này.

Điều 37. Bảo đảm an toàn, bảo mật các ứng dụng

Các chương trình ứng dụng nghiệp vụ phải đạt các yêu cầu tối thiểu sau:

1. Kiểm tra tính hợp lệ của dữ liệu nhập vào các ứng dụng, bảo đảm dữ liệu được nhập vào chính xác và hợp lệ.

2. Kiểm tra tính hợp lệ của dữ liệu cần được xử lý tự động trong các ứng dụng nhằm phát hiện thông tin sai lệch do các lỗi trong quá trình xử lý hoặc các hành vi sửa đổi thông tin có chủ ý.

3. Có các biện pháp bảo đảm tính xác thực và bảo vệ sự toàn vẹn của dữ liệu được xử lý trong các ứng dụng.

4. Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng dụng, bảo đảm quá trình xử lý thông tin của các ứng dụng là chính xác và hợp lệ.

5. Mã khóa bí mật của người sử dụng trong các hệ thống thông tin từ cấp độ 3 trở lên phải được mã hóa ở lớp ứng dụng.

Điều 38. Quản lý mã hóa

1. Quy định và đưa vào sử dụng các biện pháp mã hóa theo quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng hoặc quốc tế đã được công nhận, có biện pháp quản lý khóa để bảo vệ thông tin của đơn vị.

Điều 39. An toàn, bảo mật trong quá trình phát triển phần mềm

1. Đơn vị phải có quy định về:

a) Quản lý, kiểm soát chương trình nguồn; trong đó việc truy cập, tiếp cận chương trình nguồn phải được sự phê duyệt của thủ trưởng đơn vị;

b) Quản lý, bảo vệ tệp tin cấu hình hệ thống.

2. Đơn vị phải xây dựng quy trình lựa chọn, quản lý và kiểm soát đối với dữ liệu kiểm tra, thử nghiệm. Không sử dụng dữ liệu thật của hệ thống thông tin vận hành chính thức cho hoạt động kiểm thử khi chưa thực hiện các biện pháp che giấu hoặc thay đổi đối với dữ liệu chứa thông tin bí mật.

Điều 40. Quản lý sự thay đổi hệ thống thông tin

Ban hành quy trình, biện pháp quản lý và kiểm soát sự thay đổi hệ thống thông tin, tối thiểu bao gồm:

1. Khi thay đổi phiên bản hoặc thay đổi hệ điều hành, cơ sở dữ liệu, phần mềm lớp giữa phải kiểm tra và xem xét các ứng dụng nghiệp vụ quan trọng để bảo đảm hệ thống hoạt động ổn định, an toàn trên môi trường mới.

2. Việc sửa đổi các gói phần mềm phải được quản lý và kiểm soát chặt chẽ.

3. Kiểm soát sự thay đổi của phiên bản phần mềm, cấu hình phần cứng, tham số phần mềm hệ thống, quy trình vận hành: ghi chép lại các thay đổi; lập kế hoạch, thực hiện kiểm tra, thử nghiệm sự thay đổi, báo cáo kết quả và phải được phê duyệt trước khi áp dụng chính thức. Có phương án dự phòng cho việc phục hồi hệ thống trong trường hợp thực hiện thay đổi không thành công hoặc gặp các sự cố không có khả năng dự tính trước.

Điều 41. Đánh giá an ninh bảo mật hệ thống thông tin

1. Đơn vị phải thực hiện đánh giá an ninh bảo mật hệ thống thông tin với các nội dung cơ bản sau:

a) Đánh giá về kiến trúc hệ thống để xác định tính phù hợp của các thiết bị lắp đặt với kiến trúc hệ thống tổng thể và yêu cầu về an ninh bảo mật;

b) Kiểm tra cấu hình các thiết bị bảo mật, các hệ thống cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối, danh sách tài khoản người dùng;

c) Kiểm tra thử nghiệm mức độ an toàn mạng (Penetration Test), bắt buộc phải thực hiện đối với các hệ thống thông tin có kết nối và cung cấp thông tin, dịch vụ ra Internet, kết nối với khách hàng và bên thứ ba.

2. Đối với hệ thống thông tin từ cấp độ 2 trở lên, phải thực hiện đánh giá an ninh bảo mật theo các nội dung quy định tại Khoản 1 Điều này trước khi đưa vào vận hành chính thức .

3. Trong quá trình vận hành hệ thống thông tin, đơn vị phải định kỳ thực hiện đánh giá an ninh bảo mật, tối thiểu như sau:

a) Sáu tháng một lần đối với hệ thống thông tin từ cấp độ 4 trở lên theo các nội dung tại Khoản 1 Điều này;

b) Một năm một lần đối với các hệ thống thông tin cấp độ 3 và các trang thiết bị giao tiếp trực tiếp với môi trường bên ngoài như Internet, kết nối với khách hàng và bên thứ ba theo các nội dung tại Khoản 1 Điều này;

c) Hai năm một lần đối với hệ thống thông tin từ cấp độ 2 trở xuống.

4. Kết quả đánh giá phải được lập thành văn bản báo cáo thủ trưởng đơn vị. Đối với các nội dung chưa tuân thủ quy định về an toàn bảo mật hệ thống thông tin (nếu có) phải đề xuất biện pháp, kế hoạch, thời hạn xử lý, khắc phục.

Điều 42. Quản lý các điểm yếu về mặt kỹ thuật

1. Có quy định về việc đánh giá, quản lý và kiểm soát các điểm yếu về mặt kỹ thuật của các hệ thống thông tin đang sử dụng.

2. Đơn vị phải chủ động phát hiện các điểm yếu về mặt kỹ thuật:

a) Thường xuyên cập nhật thông tin liên quan đến lỗ hổng, điểm yếu về mặt kỹ thuật;

b) Thực hiện dò quét, phát hiện các mã độc, lỗ hổng, điểm yếu về mặt kỹ thuật của các hệ thống thông tin đang sử dụng định kỳ tối thiểu như sau:

- Ba tháng một lần đối với hệ thống thông tin từ cấp độ 4 trở lên hoặc các hệ thống thông tin có kết nối với mạng không tin cậy;

- Sáu tháng một lần đối với các hệ thống thông tin còn lại.

3. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện đối với hệ thống thông tin đang sử dụng và đưa ra phương án, kế hoạch xử lý.

4. Xây dựng, tổ chức triển khai các giải pháp xử lý, khắc phục và báo cáo kết quả xử lý.

Điều 43. Quản lý bảo trì hệ thống thông tin

1. Các hệ thống thông tin của đơn vị đều phải được bảo trì để phát hiện sớm và kịp thời xử lý các sự cố xảy ra. Đơn vị phải ban hành quy định bảo trì cho hệ thống thông tin tối thiểu bao gồm các nội dung sau:

a) Phạm vi, các đối tượng được bảo trì;

b) Quy trình thực hiện bảo trì đối với từng cấu phần của hệ thống thông tin. Quy trình thực hiện bảo trì phải chỉ ra các bước xử lý cần thiết phải thực hiện khi quá trình bảo trì phát hiện, phát sinh sự cố;

c) Kịch bản kỹ thuật để xác định tình trạng hoạt động của hệ thống thông tin và của từng cấu phần của hệ thống thông tin;

d) Bộ phận có trách nhiệm quản lý, giám sát, thực hiện công tác bảo trì của hệ thống thông tin, của từng cấu phần của hệ thống thông tin;

đ) Bộ phận có trách nhiệm tiếp nhận, xử lý thông tin về tình trạng hoạt động của hệ thống thông tin, của từng cấu phần của hệ thống thông tin;

e) Thời gian, tần suất thực hiện bảo trì.

2. Đơn vị phải tổ chức thực hiện bảo trì ngay sau khi đưa hệ thống thông tin vào vận hành chính thức. Định kỳ thực hiện bảo trì tối thiểu 6 tháng một lần đối với hệ thống thông tin từ cấp độ 3 trở lên, một năm một lần đối với các hệ thống thông tin khác.

3. Đơn vị rà soát, cập nhật tiêu chuẩn, định mức, yêu cầu kỹ thuật quy định về quản lý công tác bảo trì, bảo dưỡng trang thiết bị công nghệ thông tin tối thiểu một năm một lần hoặc khi có sự thay đổi đối với hệ thống thông tin.

Mục 8. QUẢN LÝ VÀ ỨNG CƯU SỰ CỐ AN TOÀN THÔNG TIN MẠNG

Điều 44. Hoạt động ứng cứu sự cố ngành Ngân hàng

1. Mạng lưới ứng cứu sự cố an toàn thông tin mạng trong ngành Ngân hàng (Mạng lưới) có nhiệm vụ phối hợp các nguồn lực trong và ngoài ngành ứng phó hiệu quả sự cố an toàn thông tin mạng, góp phần bảo đảm hệ thống ngân hàng hoạt động ổn định.

2. Mạng lưới bao gồm Ban điều hành mạng lưới do Thống đốc Ngân hàng Nhà nước thành lập, Cơ quan điều phối và các thành viên mạng lưới.

3. Nguyên tắc trong hoạt động điều phối và ứng cứu sự cố

a) Các đơn vị phải có trách nhiệm cung cấp nguồn lực và tham gia làm thành viên mạng lưới;

b) Thông tin được trao đổi, cung cấp trong quá trình điều phối, xử lý sự cố là thông tin bí mật;

c) Khi gặp sự cố nghiêm trọng không tự khắc phục được, các thành viên phải báo cáo và gửi yêu cầu hỗ trợ đến Cơ quan điều phối;

d) Căn cứ vào từng sự cố, Cơ quan điều phối sẽ đề nghị các thành viên mạng lưới hỗ trợ hoặc các cơ quan chức năng trong và ngoài ngành hỗ trợ, ứng cứu.

Điều 45. Trung tâm điều hành an ninh mạng

Trung tâm điều hành an ninh mạng phải thực hiện các nhiệm vụ sau:

1. Chủ động theo dõi, thu thập, tiếp nhận các thông tin, cảnh báo về các nguy cơ, rủi ro an toàn thông tin từ bên ngoài/bên trong.

2. Xây dựng hệ thống giám sát an toàn mạng (SIEM) nhằm thu thập và lưu trữ tập trung các thông tin tối thiểu: nhật ký của các hệ thống thông tin cấp độ 3 trở lên; cảnh báo/nhật ký của trang thiết bị an ninh mạng (tường lửa, IPS/IDS).

3. Phân tích các thông tin để phát hiện và cảnh báo về các rủi ro và các nguy cơ tấn công mạng, sự cố an toàn thông tin mạng, phải gửi cảnh báo theo thời gian thực đến người quản trị hệ thống khi phát hiện sự cố liên quan đến các hệ thống: (i) Hệ thống thông tin phục vụ khách hàng yêu cầu hoạt động 24/7; (ii) Hệ thống cung cấp giao dịch trực tuyến; (iii) Hệ thống thông tin từ cấp độ 4 trở lên.

4. Khi sự cố phát sinh, tổ chức điều phối ứng cứu sự cố và khoanh vùng, ngăn chặn, giảm thiểu tác động, thiệt hại đến hệ thống thông tin.

5. Điều tra, xác định nguồn gốc, cách thức, phương pháp tấn công và thực hiện các biện pháp ngăn ngừa tránh sự số tái diễn.

6. Có trách nhiệm cung cấp thông tin cho Ngân hàng Nhà nước để phục vụ giám sát an toàn thông tin mạng ngành Ngân hàng.

Điều 46. Quy trình xử lý sự cố

1. Quy trình xử lý sự cố an toàn thông tin mạng bao gồm những nội dung tối thiểu như sau:

a) Tiếp nhận thông tin về sự cố phát sinh;

b) Đánh giá xác định mức độ, phạm vi ảnh hưởng của sự cố đến hoạt động của hệ thống thông tin. Tùy theo mức độ, phạm vi ảnh hưởng của sự cố phải báo cáo đến các cấp quản lý tương ứng để chỉ đạo xử lý;

c) Thực hiện các biện pháp xử lý, khắc phục sự cố;

d) Ghi nhận hồ sơ và báo cáo kết quả xử lý sự cố.

2. Quy định trách nhiệm của cá nhân, tập thể trong việc báo cáo, tiếp nhận, xử lý các sự cố an toàn thông tin mạng.

3. Xây dựng các mẫu biểu để ghi nhận, lưu trữ hồ sơ xử lý sự cố.

Điều 47. Kiểm soát và khắc phục sự cố

1. Lập danh sách sự cố an toàn thông tin mạng và phương án xử lý sự cố đối với các hệ thống thông tin từ cấp độ 2 trở lên. Tối thiểu 6 tháng một lần thực hiện rà soát, cập nhật danh sách, phương án ứng cứu sự cố.

2. Khi phát sinh sự cố an toàn thông tin mạng, phải lập tức báo cáo đến những người có thẩm quyền và những người có liên quan để có biện pháp khắc phục trong thời gian sớm nhất.

3. Trong quá trình kiểm tra, xử lý, khắc phục sự cố phải thu thập, ghi chép, bảo vệ chứng cứ và lưu trữ tại đơn vị.

4. Sau khi khắc phục sự cố, đánh giá xác định nguyên nhân và thực hiện các biện pháp phòng ngừa tránh sự cố tái diễn.

5. Trong trường hợp sự cố an toàn thông tin mạng có liên quan đến các vi phạm pháp luật, đơn vị có trách nhiệm thu thập và cung cấp chứng cứ cho cơ quan có thẩm quyền đúng theo quy định của pháp luật.

Mục 9. BẢO ĐẢM HOẠT ĐỘNG LIÊN TỤC CỦA CÁC HỆ THỐNG THÔNG TIN

Điều 48. Xây dựng hệ thống dự phòng thảm họa

1. Đơn vị phải xây dựng hệ thống dự phòng thảm họa cho các hệ thống thông tin từ cấp độ 3 trở lên đáp ứng các yêu cầu sau:

a) Địa điểm lắp đặt phải cách hệ thống chính tối thiểu 20 km tính theo đường thẳng nối giữa hai hệ thống và phải đáp ứng các yêu cầu quy định tại Điều 16 Thông tư này;

b) Hệ thống dự phòng phải đảm bảo khả năng thay thế hệ thống chính trong khoảng thời gian:

- 4 (bốn) giờ đồng hồ đối với: Hệ thống thông tin phục vụ hoạt động nội bộ hàng ngày của đơn vị và không chấp nhận ngừng vận hành quá 4 giờ làm việc; hệ thống phục vụ khách hàng yêu cầu hoạt động 24/7; hệ thống cung cấp giao dịch trực tuyến cho khách hàng.

- 24 (hai mươi bốn) giờ đồng hồ đối với các hệ thống khác.

2. Các đơn vị chỉ có trụ sở làm việc tại một địa điểm duy nhất ở Việt Nam mà trung tâm dữ liệu chính và trung tâm dữ liệu dự phòng đặt tại nước ngoài phải có văn phòng dự phòng tại một địa điểm khác có trang thiết bị để đảm bảo hoạt động liên tục thay thế trụ sở làm việc, khoảng cách giữa hai trụ sở làm việc tối thiểu 5km tính theo đường thẳng.

Điều 49. Xây dựng quy trình, kịch bản bảo đảm hoạt động liên tục

1. Xây dựng quy trình xử lý các tình huống mất an toàn, gián đoạn hoạt động của từng cấu phần trong hệ thống thông tin từ cấp độ 3 trở lên như máy chủ, thiết bị mạng, an ninh bảo mật, truyền thông.

2. Xây dựng kịch bản chuyển đổi hệ thống dự phòng thay thế cho hoạt động của hệ thống chính, bao gồm các nội dung cơ bản sau:

a) Nội dung công việc, trình tự thực hiện, dự kiến thời gian hoàn thành;

b) Bố trí và phân công trách nhiệm cho nhân sự tham gia với các vai trò: Chỉ đạo thực hiện, giám sát, thực hiện chuyển đổi, vận hành chính thức và kiểm tra kết quả;

c) Các nguồn lực, phương tiện và các yêu cầu cần thiết để thực hiện;

d) Biện pháp bảo đảm an toàn, bảo mật thông tin và hệ thống thông tin;

đ) Các mẫu biểu ghi nhận kết quả.

3. Các đơn vị chỉ có trụ sở làm việc tại một địa điểm duy nhất ở Việt Nam mà trung tâm dữ liệu chính và trung tâm dữ liệu dự phòng đặt tại nước ngoài phải xây dựng kịch bản chuyển đổi hoạt động sang văn phòng dự phòng.

4. Kịch bản chuyển đổi phải được phổ biến tới tất cả các đối tượng tham gia để nắm rõ nội dung công việc cần thực hiện.

5. Quy trình, kịch bản chuyển đổi phải được kiểm tra và cập nhật khi có sự thay đổi của hệ thống thông tin, cơ cấu tổ chức, nhân sự và phân công trách nhiệm của các bộ phận có liên quan trong đơn vị.

Điều 50. Tổ chức triển khai bảo đảm hoạt động liên tục

1. Đơn vị phải có kế hoạch và tổ chức triển khai bảo đảm hoạt động liên tục hệ thống thông tin:

a) Tối thiểu sáu tháng một lần, tiến hành kiểm tra, đánh giá hoạt động của hệ thống dự phòng;

b) Định kỳ hàng năm, phải thực hiện chuyển hoạt động chính thức tối thiểu 1 ngày làm việc của từng hệ thống thông tin từ hệ thống chính sang hệ thống dự phòng. Đánh giá kết quả và cập nhật các quy trình, kịch bản chuyển đổi (nếu có).

2. Các đơn vị chỉ có trụ sở làm việc tại một địa điểm duy nhất ở Việt Nam mà trung tâm dữ liệu chính và trung tâm dữ liệu dự phòng đặt tại nước ngoài phải tổ chức thực hiện diễn tập bảo đảm hoạt động liên tục định kỳ hàng năm.

3. Thông báo kế hoạch chuyển đổi hoạt động liên tục cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) chậm nhất là 05 (năm) ngày làm việc trước khi thực hiện.

Mục 10. KIỂM TRA NỘI BỘ VÀ CHẾ ĐỘ BÁO CÁO

Điều 51. Kiểm tra nội bộ

1. Xây dựng quy định kiểm tra nội bộ về công tác bảo đảm an toàn bảo mật hệ thống thông tin của đơn vị.

2. Xây dựng kế hoạch và thực hiện công tác tự tổ chức kiểm tra việc tuân thủ các quy định tại Thông tư này và các quy định của đơn vị về bảo đảm an toàn bảo mật hệ thống thông tin tối thiểu mỗi năm một lần.

3. Kết quả kiểm tra về công tác bảo đảm an toàn bảo mật hệ thống thông tin của đơn vị phải lập thành báo cáo gửi thủ trưởng đơn vị, trong đó các vấn đề còn tồn tại chưa bảo đảm tuân thủ các quy định về an toàn bảo mật hệ thống thông tin (nếu có) phải kiến nghị, đề xuất xử lý, khắc phục.

4. Tổ chức thực hiện và báo cáo kết quả xử lý, khắc phục các tồn tại nêu trong báo cáo theo quy định tại Khoản 3 Điều này.

Điều 52. Chế độ báo cáo

Đơn vị (trừ Ngân hàng Nhà nước) có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước (Cục Công nghệ thông tin) bằng văn bản tiếng Việt như sau:

1. Báo cáo sự cố an toàn thông tin mạng trong vòng 01 (một) ngày kể từ thời điểm sự cố được phát hiện theo Phụ lục 01 đính kèm Thông tư này.

2. Báo cáo khi triển khai mới hoặc đưa vào ứng dụng các hệ thống thông tin từ cấp độ 3 trở lên đính kèm chậm nhất 05 (năm) ngày làm việc trước khi áp dụng chính thức theo Phụ lục 02 đính kèm Thông tư này.

3. Báo cáo về việc sử dụng các dịch vụ điện toán đám mây phục vụ các hệ thống thông tin từ cấp độ 3 trở lên:

- Báo cáo sử dụng dịch vụ điện toán đám mây tối thiểu 10 ngày trước ngày ký hợp đồng với bên thứ ba theo Phụ lục 03 đính kèm Thông tư này;

- Báo cáo thay đổi nhà cung cấp dịch vụ điện toán đám mây tối thiểu 10 ngày trước ngày sử dụng dịch vụ của bên thứ ba mới theo Phụ lục 04 đính kèm Thông tư này;

- Báo cáo dừng sử dụng dịch vụ điện toán đám mây tối thiểu 10 ngày kể từ ngày kể từ ngày chấm dứt sử dụng dịch vụ theo Phụ lục 05.

4. Các trường hợp đột xuất khác theo yêu cầu của Ngân hàng Nhà nước.

Chương III

ĐIỀU KHOẢN THI HÀNH

Điều 53. Xử lý vi phạm

Các tổ chức, cá nhân vi phạm quy định tại Thông tư này, tùy theo mức độ vi phạm sẽ bị xử lý theo các quy định của pháp luật.

Điều 54. Hiệu lực thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 01/01/2019, thay thế Thông tư 31/2015/TT-NHNN ngày 28/12/2015 của Thống đốc Ngân hàng Nhà nước về việc ban hành Quy định việc bảo đảm an toàn, bảo mật hệ thống thông tin trong ngành Ngân hàng và Quyết định 29/2008/QĐ-NHNN ngày 31/10/2008 của Thống đốc Ngân hàng Nhà nước về việc ban hành quy định về bảo trì hệ thống trang thiết bị tin học trong ngành ngân hàng.

2. Điểm b Khoản 2, Điều 12 và Điều 45 có hiệu lực kể từ ngày 01/01/2021.

3. Trong quá trình thực hiện nếu có vấn đề phát sinh, vướng mắc, các đơn vị phản ánh kịp thời về Ngân hàng Nhà nước để xem xét, bổ sung, sửa đổi.

Điều 55. Trách nhiệm thi hành

1. Cục Công nghệ thông tin có trách nhiệm:

a) Xây dựng các tiêu chuẩn kỹ thuật để chuẩn hóa hoạt động công nghệ thông tin của ngành ngân hàng;

b) Theo dõi, tổng hợp báo cáo Thống đốc tình hình thực hiện bảo đảm an toàn, bảo mật hệ thống thông tin của các đơn vị theo quy định tại Thông tư này;

c) Hàng năm lập kế hoạch và kiểm tra việc thực hiện Thông tư này tại các đơn vị;

d) Chủ trì, phối hợp với các đơn vị liên quan thuộc Ngân hàng Nhà nước xử lý các vướng mắc phát sinh trong quá trình triển khai thực hiện Thông tư này.

đ) Định kỳ hàng năm, tổng hợp danh sách các đơn vị vi phạm quy định bảo đảm an toàn, bảo mật hệ thống thông tin tại Thông tư này, gửi Cơ quan Thanh tra, giám sát ngân hàng để xử lý vi phạm theo thẩm quyền.

2. Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm phối hợp với Cục Công nghệ thông tin kiểm tra việc thực hiện Thông tư này tại các đơn vị (trừ Ngân hàng Nhà nước) và xử lý vi phạm hành chính đối với hành vi vi phạm theo quy định của pháp luật.

3. Vụ Kiểm toán nội bộ có trách nhiệm thực hiện việc kiểm tra nội bộ đối với các đơn vị thuộc Ngân hàng Nhà nước theo quy định tại Khoản 1, 2, 3 Điều 51 Thông tư này.

4. Thủ trưởng các đơn vị liên quan thuộc Ngân hàng Nhà nước; Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc trung ương; Chủ tịch Hội đồng quản trị, Hội đồng thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán có trách nhiệm tổ chức thực hiện Thông tư này.

 

 

Nơi nhận:
- Như Khoản 4 Điều 55;
- Ban Lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Công báo;
- Lưu VP, CNTT, PC.

THỐNG ĐỐC

 

 

 

Thuộc tính Dự thảo văn bản Khongso

Loại văn bảnThông tư
Số hiệuKhongso
Cơ quan ban hành
Người ký
Ngày ban hành23/04/2018
Ngày hiệu lực...
Ngày công báo...
Số công báo
Lĩnh vựcTiền tệ - Ngân hàng, Công nghệ thông tin
Tình trạng hiệu lựcKhông xác định
Cập nhật4 tháng trước
(03/05/2018)

Download Dự thảo văn bản Khongso

Lược đồ Thông tư quy định bảo đảm an toàn bảo mật hệ thống thông tin trong hoạt động ngân hàng


Văn bản bị sửa đổi, bổ sung

    Văn bản liên quan ngôn ngữ

      Văn bản sửa đổi, bổ sung

        Văn bản bị đính chính

          Văn bản được hướng dẫn

            Văn bản đính chính

              Văn bản bị thay thế

                Văn bản hiện thời

                Thông tư quy định bảo đảm an toàn bảo mật hệ thống thông tin trong hoạt động ngân hàng
                Loại văn bảnThông tư
                Số hiệuKhongso
                Cơ quan ban hànhNgân hàng Nhà nước
                Người ký***
                Ngày ban hành23/04/2018
                Ngày hiệu lực...
                Ngày công báo...
                Số công báo
                Lĩnh vựcTiền tệ - Ngân hàng, Công nghệ thông tin
                Tình trạng hiệu lựcKhông xác định
                Cập nhật4 tháng trước
                (03/05/2018)

                Văn bản thay thế

                  Văn bản được dẫn chiếu

                    Văn bản hướng dẫn

                      Văn bản được hợp nhất

                        Văn bản gốc Thông tư quy định bảo đảm an toàn bảo mật hệ thống thông tin trong hoạt động ngân hàng

                        Lịch sử hiệu lực Thông tư quy định bảo đảm an toàn bảo mật hệ thống thông tin trong hoạt động ngân hàng

                        • 23/04/2018

                          Văn bản được ban hành

                          Trạng thái: Chưa có hiệu lực