QUỸ TÍN DỤNG NHÂN DÂN XXX Số: CỘNG HỒ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh Phúc /2016/QĐ-HĐQT XXX, ngày tháng năm 2016 QUYẾT ĐỊNH V/v: Ban hành Quy chế an toàn, bảo mật hệ thống CNTT Quỹ tín dụng nhân dân XXX HỘI ĐỒNG QUẢN TRỊ - Căn Thông tư 31/2015/TT-NHNN ngày 28 tháng 12 năm 2015; - Căn Điều lệ tổ chức hoạt động Quỹ tín dụng nhân dân XXX QUYẾT ĐỊNH Điều 1: Ban hành kèm theo Quyết định “Quy định an toàn, bảo mật hệ thống CNTT Quỹ tín dụng nhân dân XXX” Điều 2: Quyết định có hiệu lực kể từ ngày / /2016 thay Quyết định số ngày / /2015 Hội đồng Quản trị việc ban hành Quy chế XXX Quỹ tín dụng nhân dân XXX Điều 3: Hội đồng quản trị Quỹ tín dụng nhân dân XXX có trách nhiệm thi hành Quyết định này./ Nơi nhận: - Như Điều - NHNN XXX - Lưu QTD T/M HỘI ĐỒNG QUẢN TRỊ CHỦ TỊCH QUY CHẾ AN TOÀN, BẢO MẬT HỆ THỐNG CNTT CỦA QTDND XXX (Ban hành theo Quyết định số /2016/QĐ-HĐQT ngày / /20xx Chủ tịch HĐQT Quỹ tín dụng nhân dân XXX) Điều Nội dung Văn tham chiếu CHƯƠNG I QUY ĐỊNH CHUNG Điều Mục đích Quy định đảm bảo an tồn, bảo mật hệ thống công nghệ thông tin hoạt động Quỹ Tín dụng Nhân dân, cụ thể: + Quản lý Tài sản công nghệ thông tin; + Quản lý Nguồn nhân lực; + Đảm bảo an toàn mặt vật lý môi trường nơi lắp đặt trang thiết bị công nghệ thông tin; + Quản lý vận hành trao đổi thông tin; + Các biện pháp quản lý truy cập; + Quản lý dịch vụ công nghệ thông tin bên thứ ba; + Tiếp nhận, phát triển, trì hệ thống cơng nghệ thơng tin; + Quản lý cố công nghệ thông tin; + Đảm bảo hoạt động liên tục hệ thống công nghệ thông tin; + Kiểm tra nội chế độ báo cáo Điều Đối tượng phạm vi áp dụng Quy định đảm bảo an tồn, bảo mật hệ thống cơng nghệ thơng tin hoạt động Quỹ Tín dụng Nhân dân XXX Điều Giải thích từ ngữ Hệ thống cơng nghệ thơng tin (CNTT) tập hợp có cấu Điều 2, trúc trang thiết bị phần cứng, phần mềm, sở liệu hệ Thông tư thống mạng để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ 31/2015/TTtrao đổi thông tin số phục vụ cho nhiều hoạt động kỹ NHNN Điều Nội dung Văn tham chiếu thuật, nghiệp vụ Quỹ Hệ thống CNTT quan trọng hệ thống CNTT phát sinh cố làm tổn hại nghiêm trọng đến hoạt động Quỹ làm tổn hại tới lợi ích khách hàng sử dụng dịch vụ Quỹ Rủi ro CNTT khả xảy tổn thất thực hoạt động liên quan đến hệ thống CNTT Rủi ro CNTT liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành người Quản lý rủi ro CNTT hoạt động phối hợp nhằm nhận diện kiểm soát rủi ro CNTT xảy Dữ liệu nhạy cảm liệu có thơng tin mật, thơng tin lưu hành nội Quỹ Quỹ quản lý, lộ lọt gây ảnh hưởng xấu đến danh tiếng, tài hoạt động Quỹ Tài khoản người dùng tập hợp thông tin đại diện cho người sử dụng hệ thống CNTT, người dùng sử dụng để đăng nhập truy cập tài nguyên cấp phép hệ thống CNTT Tài khoản người dùng phải bao gồm tên định danh mã khóa bí mật Tài sản vật lý thiết bị công nghệ thông tin, phương tiện truyền thông thiết bị phục vụ cho hoạt động hệ thống công nghệ thông tin Vật mang tin phương tiện vật chất dùng để lưu giữ truyền nhận thông tin điện tử Bên thứ ba tổ chức, cá nhân Quỹ thuê hợp tác với Quỹ nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống CNTT 10 Tường lửa tập hợp thành phần hệ thống trang thiết bị, phần mềm đặt hai mạng, nhằm kiểm Điều Nội dung Văn tham chiếu soát tất kết nối từ bên bên mạng ngược lại 11 Phần mềm độc hại (mã độc) phần mềm có khả gây hoạt động khơng bình thường cho phần hay tồn hệ thống thơng tin thực chép, sửa đổi, xóa bỏ trái phép thơng tin lưu trữ hệ thống thông tin 12 Điểm yếu mặt kỹ thuật vị trí hệ thống CNTT dễ bị khai thác, lợi dụng bị công xâm nhập bất hợp pháp 13 An ninh mạng bảo vệ hệ thống CNTT thông tin truyền đưa mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính tồn vẹn, tính bảo mật tính sẵn sàng thơng tin Điều Nguyên tắc chung Đảm bảo an toàn, bảo mật hệ thống CNTT Quỹ Điều 3, Xác định hệ thống CNTT quan trọng áp dụng Thơng tư sách đảm bảo an tồn bảo mật phù hợp 31/2015/TT3 Nhận biết, phân loại, đánh giá kịp thời xử lý có hiệu NHNN rủi ro CNTT xảy Quỹ Xây dựng, triển khai quy chế an toàn, bảo mật hệ thống CNTT sở hài hòa lợi ích, chi phí mức độ chấp nhận rủi ro Quỹ Bố trí nhân chuyên trách chịu trách nhiệm đảm bảo an toàn, bảo mật hệ thống CNTT Xác định rõ quyền hạn, trách nhiệm Ban Giám đốc Quỹ (hoặc người đại diện hợp pháp), phận cá nhân Quỹ cơng tác đảm bảo an tồn, bảo mật hệ thống CNTT CHƯƠNG II QUY ĐỊNH CỤ THỂ Điều Điều Nội dung Văn tham chiếu Tổ chức đảm bảo an toàn, bảo mật hệ thống CNTT Điều 4, Thông tư a Ban Giám đốc Quỹ trực tiếp đạo cơng tác đảm bảo an tồn, bảo mật hệ thống CNTT phân cấp trách nhiệm cụ thể 31/2015/TTNHNN cho cán bộ, nhân viên Quỹ Đảm bảo an toàn, bảo mật hệ thống CNTT nội Quỹ b Các cán bộ, nhân viên liên quan đến việc đảm bảo an toàn, bảo mật hệ thống CNTT, xảy sai sót chịu trách nhiệm tùy theo mức độ ảnh hưởng Quản lý an toàn, bảo mật CNTT Quỹ bên thứ ba a Đánh giá lực kỹ thuật, nhân sự, khả tài bên thứ ba trước ký kết hợp đồng cung cấp hàng hóa, dịch vụ b Hợp đồng cần xác định rõ trách nhiệm, quyền hạn nghĩa vụ bên; quy định rõ mức xử phạt, bồi thường thiệt hại vấn đề vi phạm bên thứ ba gây Điều Quản lý Tài sản CNTT Lập bảng theo dõi, thực kiểm kê loại tài sản CNTT Mục I, Quỹ định kỳ hàng quý/năm, thời điểm … Nội dung Thông tư bảng theo dõi nội dung kiểm kê bao gồm: 31/2015/TT- Tên Tài sản; NHNN - Số lượng; - Giá trị tài sản; - Tình trạng sử dụng; - Bộ phận sử dụng; - Người sử dụng; Tài sản CNTT đem khỏi Quỹ sử dụng với mục đích cá nhân cần báo cáo nhận phê duyệt Giám đốc/Phó Giám đốc,… Đối với tài sản vật lý có chứa thơng tin, liệu nhạy cảm trước mang khỏi Quỹ phải thực biện pháp bảo vệ để giữ bí mật thơng tin, liệu lưu trữ Điều Nội dung Văn tham chiếu tài sản Cá nhân giao trực tiếp tài sản CNTT phải có trách tuân thủ quy định quản lý, sử dụng tài sản, đảm bảo tài sản sử dụng mục đích Đối với tài sản chung Quỹ, Trưởng phận Ban Giám đốc có trách nhiệm việc quản lý, đảm bảo việc sử dụng tài sản thông tin hiệu mục đích Khi xảy lỗi, hỏng hóc, cá nhân phải báo cáo với phận liên quan để tiến hành tìm hiểu nguyên nhân thực sửa chữa kịp thời Xây dựng kế hoạch, quy trình bảo trì, bảo dưỡng tổ chức thực loại tài sản Tài sản CNTT có lưu trữ liệu nhạy cảm thay đổi mục đích sử dụng lý, Quỹ phải thực biện pháp xóa, tiêu hủy liệu đảm bảo khơng có khả phục hồi Trường hợp khơng thể tiêu hủy liệu, Quỹ phải thực biện pháp tiêu hủy cấu phần lưu trữ liệu tài sản Điều Quản lý Nguồn nhân lực Tuyển dụng phân công nhiệm vụ Điều 11, Thông tư a Xác định trách nhiệm việc đảm bảo an toàn, bảo mật hệ 31/2015/TTthống CNTT vị trí cần tuyển dụng phân cơng NHNN b Xem xét, đánh giá nghiêm ngặt tư cách đạo đức, trình độ chun mơn thơng qua lý lịch, lý lịch tư pháp c Người tuyển dụng phải cam kết bảo mật thông tin văn riêng cam kết hợp đồng lao động Cam kết phải bao gồm điều khoản trách nhiệm đảm bảo an toàn, bảo mật hệ thống CNTT sau làm việc Quỹ d Tổ chức đào tạo, phổ biến quy định Quỹ an toàn, bảo mật hệ thống CNTT Điều Nội dung Văn tham chiếu Quản lý sử dụng Nguồn nhân lực Điều 12, a Thực phổ biến cập nhật quy định an tồn, bảo Thơng tư mật hệ thống CNTT cho tất cán bộ, nhân viên 31/2015/TTb Kiểm tra việc thi hành quy định an toàn, bảo mật hệ NHNN thống CNTT cá nhân, tổ chức trực thuộc tối thiểu năm lần c Đối với cán bộ, nhân viên Quỹ vi phạm quy định an toàn, bảo mật CNTT phải có biện pháp xử lý nhắc nhở, khiển trách hay kỷ luật, tùy vào mức độ vi phạm cá nhân d Đối với cơng việc như: cài đặt cấu hình hệ thống, thiết bị quan trọng (máy chủ, phần mềm ứng dụng hệ thống an ninh mạng) cần phải thực cán bộ, nhân viên Quỹ phải có người giám sát e Cán bộ, nhân viên Quỹ không truy cập chưa có cho phép vào tài khoản người dùng cán bộ, nhân viên hệ thống CNTT quan trọng cá nhân nghỉ không đến trụ sở làm việc Chấm dứt thay đổi công việc a Đối với trường hợp cán bộ, nhân viên chấm dứt thay đổi công việc, Quỹ cần thực hiện: Điều 13, Thông tư a1 Xác định vai trò, trách nhiệm cán bộ, nhân viên 31/2015/TTNHNN bên liên quan hệ thống CNTT a2 Làm biên bàn giao tài sản với cán bộ, nhân viên a3 Thực thu hồi quyền truy cập hệ thống CNTT cán bộ, nhân viên chấm dứt hợp đồng lao động a4 Thực thay đổi quyền truy cập hệ thống CNTT phù hợp với công việc thay đổi cán bộ, nhân viên thay đổi công việc a5 Thông báo cho Ngân hàng Nhà nước (Cục Công nghệ Tin Điều Nội dung Văn tham chiếu học) trường hợp cá nhân làm việc lĩnh vực CNTT bị kỷ luật với hình thức sa thải, buộc thơi việc, bị truy tố trước pháp luật vi phạm quy định an toàn bảo mật hệ thống CNTT Điều Bảo đảm an tồn mặt vật lý mơi trường nơi lắp đặt trang thiết bị CNTT Điều 14, Thông tư a Quỹ TDND nơi nắp đặt trang thiết bị CNTT phải bảo vệ 31/2015/TTan toàn tường bao, cửa ra/vào phải có người bảo vệ NHNN b Phải có camera theo dõi 24/7, liệu camera theo dõi phải lưu trữ tối thiểu 100 ngày Yêu cầu chung nơi lắp đặt trang thiết bị CNTT c Khu vực lắp đặt phải không thấm dột, khơ thống, tránh ngập lụt, có hệ thống chống sét, hệ thống phòng cháy chữa cháy,… d Phải đảm bảo nguồn điện hệ thống hỗ trợ nguồn điện bị gián đoạn, phải có biện pháp chống tải sụt giảm điện áp An toàn, bảo mật tài sản vật lý Điều 15, a Tài sản vật lý phải bố trí, lắp đặt địa điểm an Thơng tư toàn bảo vệ để giảm thiểu rủi ro từ đe dọa, 31/2015/TThiểm họa từ môi trường xâm nhập trái phép NHNN b Tài sản vật lý thuộc hệ thống CNTT quan trọng phải bảo đảm nguồn điện hệ thống hỗ trợ nguồn điện bị gián đoạn Phải có biện pháp chống tải hay sụt giảm điện áp, chống sét lan truyền; có hệ thống tiếp đất; có hệ thống máy phát điện dự phòng hệ thống lưu điện đảm bảo thiết bị hoạt động liên tục c Dây cáp cung cấp nguồn điện dây cáp truyền thông sử dụng truyền tải liệu hay dịch vụ hỗ trợ thông tin phải bảo vệ khỏi xâm phạm hư hại d Tất thiết bị lưu trữ liệu phải kiểm tra để đảm Điều Nội dung Văn tham chiếu bảo liệu quan trọng phần mềm có quyền lưu trữ thiết bị xóa bỏ ghi đè khơng có khả khơi phục trước loại bỏ tái sử dụng cho mục đích khác e Các trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên trụ sở Quỹ phải giám sát, bảo vệ an toàn phòng chống truy cập bất hợp pháp Điều Quản lý vận hành trao đổi thông tin Trách nhiệm quy trình vận hành Điều 17, Thơng tư a Ban hành triển khai quy trình vận hành hệ thống CNTT, tối thiểu bao gồm: Quy trình khởi động, đóng hệ thống; 31/2015/TTNHNN quy trình lưu, phục hồi liệu; quy trình vận hành ứng dụng; quy trình xử lý cố; quy trình giám sát ghi nhật ký hoạt động hệ thống b Kiểm soát thay đổi phiên phần mềm, cấu hình phần cứng, quy trình vận hành: ghi chép lại thay đổi; lập kế hoạch, thực kiểm tra, thử nghiệm thay đổi, báo cáo kết phải phê duyệt trước áp dụng thức Có phương án dự phịng cho việc phục hồi hệ thống trường hợp thực thay đổi không thành cơng gặp cố khơng có khả dự tính trước c Hệ thống CNTT vận hành thức phải đáp ứng yêu cầu: c1 Tách biệt với môi trường phát triển môi trường kiểm tra, thử nghiệm; c2 Chỉ kết nối Internet hệ thống CNTT áp dụng đầy đủ giải pháp an ninh, an toàn đủ khả bảo vệ trước hiểm họa công từ bên ngồi; c3 Khơng cài đặt cơng cụ, phương tiện phát triển ứng dụng hệ thống vận hành thức d Đối với hệ thống CNTT xử lý giao dịch với khách hàng: d1 Không để cá nhân làm toàn khâu từ khởi tạo đến phê duyệt giao dịch; Điều Nội dung Văn tham chiếu d2 Áp dụng biện pháp đảm bảo tính tồn vẹn liệu giao dịch; d3 Mọi thao tác hệ thống phải lưu trữ, sẵn sàng cho kiểm tra, kiểm soát cần thiết Điều 18, Thông tư a Giám sát, tối ưu hiệu suất hệ thống CNTT để lập kế hoạch hiệu suất dung lượng hệ thống CNTT 31/2015/TTNHNN tương lai nhằm đảm bảo tiêu chuẩn cần thiết Lập kế hoạch chấp nhận hệ thống CNTT b Xây dựng yêu cầu, tiêu chuẩn hiệu năng, thời gian phục hồi gặp cố, đảm bảo tính liên tục; đào tạo chuyển giao kỹ thuật nội dung thay đổi cho người sử dụng thực kiểm tra đánh giá khả đáp ứng hệ thống CNTT hệ thống nâng cấp trước áp dụng thức Sao lưu dự phòng Điều 19, a Lập danh sách liệu, phần mềm cần lưu, có Thơng tư phân loại theo mức độ quan trọng, thời gian lưu trữ, thời gian 31/2015/TTsao lưu, phương pháp lưu thời gian kiểm tra phục hồi hệ NHNN thống từ liệu lưu Dữ liệu hệ thống CNTT quan trọng phải lưu ngày b Dữ liệu hệ thống CNTT quan trọng phải lưu phương tiện lưu trữ (như băng từ, đĩa cứng, đĩa quang phương tiện lưu trữ khác) cất giữ, bảo quản an toàn tách rời với khu vực tiến hành lưu Kiểm tra, phục hồi liệu lưu từ phương tiện lưu trữ tối thiểu sáu tháng lần c Thiết lập sách bảo mật hợp lý liệu Các thao tác lưu khôi phục liệu phải phân cấp quyền hạn cho cá nhân khác Sao lưu liệu gán cho người có quyền quản trị thấp hơn, người phục hồi liệu phải người có thẩm quyền phê duyệt thực Điều Nội dung Văn tham chiếu Quản lý an toàn, bảo mật mạng Điều 20, a Sử dụng thiết bị tường lửa, thiết bị phát hiện, ngăn chặn xâm Thông tư nhập trang thiết bị khác để đảm bảo an toàn bảo mật 31/2015/TTmạng NHNN b Trang bị giải pháp an ninh mạng để kiểm soát, phát ngăn chặn kịp thời kết nối, truy cập không phép vào hệ thống mạng c Thiết lập, cấu hình đầy đủ tính hệ thống an ninh mạng Thực biện pháp, giải pháp để dị tìm phát kịp thời điểm yếu, lỗ hổng mặt kỹ thuật hệ thống mạng Thường xuyên kiểm tra, phát kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng Trao đổi thông tin Điều 21, a Ban hành quy định trao đổi thông tin tối thiểu gồm: Quyền Thông tư trách nhiệm cá nhân tiếp cận thơng tin; biện pháp 31/2015/TTđảm bảo tính toàn vẹn, bảo mật truyền nhận, xử lý, lưu trữ NHNN thông tin; chế độ bảo quản thông tin b Thực biện pháp quản lý, giám sát kiểm sốt chặt chẽ trang thơng tin điện tử cung cấp thông tin, dịch vụ, giao dịch trực tuyến cho khách hàng c Có văn thỏa thuận cho việc trao đổi thơng tin với bên ngồi Xác định trách nhiệm nghĩa vụ pháp lý bên tham gia d Có biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi thông tin nội nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp thông tin nhạy cảm Giám sát ghi nhật ký hoạt động hệ thống CNTT Điều 23, a Ghi lưu trữ nhật ký hoạt động hệ thống CNTT Thông tư người sử dụng, lỗi phát sinh, cố an toàn hệ thống 31/2015/TTCNTT Dữ liệu nhật ký phải lưu trữ trực tuyến tối thiểu ba NHNN tháng lưu tối thiểu năm 10 Điều Nội dung Văn tham chiếu b Thực biện pháp giám sát, phân tích nhật ký, cảnh báo rủi ro, xử lý báo cáo kết c Bảo vệ chức ghi nhật ký thông tin nhật ký, chống giả mạo truy cập trái phép Người quản trị hệ thống người sử dụng khơng xóa hay sửa đổi nhật ký hệ thống ghi lại hoạt động họ d Thực việc đồng thời gian hệ thống CNTT Phòng chống mã độc a Người sử dụng phận liên quan có trách nhiệm cơng tác phịng chống mã độc Điều 24, Thơng tư b Triển khai biện pháp, giải pháp phòng chống mã độc cho 31/2015/TTNHNN toàn hệ thống CNTT Quỹ c Cập nhật thường xuyên mẫu mã độc phần mềm phòng chống mã độc d Kiểm tra, diệt mã độc vật mang tin nhận từ bên ngồi trước sử dụng e Khơng tự ý cài đặt phần mềm chưa có cho phép người quản trị hệ thống f Không mở thư điện tử lạ, tệp tin đính kèm liên kết thư lạ để tránh mã độc g Khơng truy cập vào trang web có nguồn gốc xuất xứ không rõ ràng, đáng ngờ Điều 10 Các biện pháp quản lý truy cập Yêu cầu nghiệp vụ quản lý truy cập Điều 25, Thông tư a Quy định quản lý truy cập người sử dụng, nhóm người sử dụng, thiết bị, công cụ sử dụng để truy cập đảm 31/2015/TTNHNN bảo đáp ứng yêu cầu nghiệp vụ yêu cầu an toàn, bảo mật, bao gồm nội dung sau: a1 Đăng ký, cấp phát, gia hạn thu hồi quyền truy cập người sử dụng; 11 Điều Nội dung Văn tham chiếu a2 Giới hạn kiểm soát truy cập sử dụng tài khoản quản trị hệ thống CNTT; a3 Quản lý, cấp phát mật truy cập mạng, hệ điều hành, truy cập hệ thống thông tin ứng dụng; a4 Rà soát, kiểm tra, xét duyệt lại quyền truy cập người sử dụng; a5 Yêu cầu, điều kiện an toàn, bảo mật thiết bị, công cụ sử dụng để truy cập b Quy định quản lý mật phải đáp ứng yêu cầu sau: b1 Mật phải có độ dài từ sáu ký tự trở lên, cấu tạo gồm ký tự số, chữ hoa, chữ thường ký tự đặc biệt khác hệ thống cho phép Các yêu cầu mật hợp lệ phải kiểm tra tự động thiết lập mật khẩu; b2 Các mật mặc định nhà sản xuất cài đặt sẵn trang thiết bị, phần mềm, sở liệu phải thay đổi trước đưa vào sử dụng; b3 Quy định trách nhiệm người sử dụng cấp quyền truy cập: Sử dụng mật quy định, giữ bí mật mật khẩu, sử dụng thiết bị, công cụ để truy cập theo quy định, thoát khỏi hệ thống không làm việc hệ thống tạm thời không làm việc hệ thống Quản lý truy cập mạng nội Điều 26, Thông tư a1 Các mạng dịch vụ mạng phép sử dụng, cách thức, 31/2015/TTNHNN phương tiện điều kiện an toàn bảo mật để truy cập; a2 Các điều kiện để kết nối mạng a Quy định quản lý truy cập mạng dịch vụ mạng gồm nội dung sau: b Có biện pháp kiểm sốt chặt chẽ kết nối từ bên ngồi vào mạng nội Quỹ đảm bảo an toàn, bảo mật c Kiểm soát việc cài đặt, sử dụng công cụ phần mềm hỗ trợ truy cập từ xa 12 Điều Nội dung Văn tham chiếu d Kiểm sốt truy cập cổng dùng để cấu hình quản trị thiết bị mạng Quản lý truy cập hệ điều hành a Xây dựng quy trình để kiểm soát truy cập hệ điều hành; quy định quản lý mật truy cập hệ điều hành an toàn, bảo mật Điều 27, Thông tư b Mỗi người sử dụng hệ điều hành phải có định danh 31/2015/TTnhất xác thực, nhận dạng, lưu dấu vết truy cập hệ NHNN điều hành c Quy định giới hạn kiểm sốt chặt chẽ tiện ích hệ thống có khả ảnh hưởng đến hệ thống chương trình ứng dụng khác d Tự động ngắt phiên làm việc sau thời gian không sử dụng, nhằm ngăn chặn truy cập trái phép e Quy định giới hạn thời gian kết nối với ứng dụng có độ rủi ro cao Quản lý truy cập Internet Điều 28, Thông tư 31/2015/TTa1 Cá nhân phận có liên quan cần có trách nhiệm NHNN khai thác sử dụng Internet; a2 Chỉ đối tượng người dùng cho phép có quyền truy cập, kết nối sử dụng Internet; a3 Không thực hành vi gây ảnh hưởng đến hệ thống CNTT Quỹ; a4 Kiểm soát kết nối, truy cập sử dụng Internet; a5 Có biện pháp đảm bảo an tồn thông tin kết nối Internet a Quy định quản lý kết nối, truy cập sử dụng Internet gồm nội dung sau: b Triển khai giải pháp an ninh mạng cổng kết nối Internet để đảm bảo an toàn trước hiểm họa công từ Internet vào mạng nội Quỹ 13 Điều Nội dung Văn tham chiếu c Sử dụng cơng cụ để dị tìm phát kịp thời điểm yếu, lỗ hổng công, truy cập bất hợp pháp vào hệ thống mạng nội Quỹ thông qua cổng kết nối Internet Kiểm sốt truy cập thơng tin ứng dụng Điều 29, a Quản lý phân quyền truy cập thông tin ứng dụng đảm Thông tư bảo nguyên tắc cấp quyền vừa đủ để thực nhiệm vụ 31/2015/TTgiao người sử dụng: NHNN a1 Phân quyền truy cập đến thư mục, chức chương trình; a2 Phân quyền đọc, ghi, xóa, thực thi thơng tin, liệu, chương trình b Các hệ thống thông tin quan trọng phải đặt môi trường mạng máy tính riêng Các hệ thống thơng tin sử dụng nguồn tài nguyên chung phải người quản trị hệ thống chấp nhận Điều 11 Quản lý dịch vụ CNTT bên thứ ba Ký hợp đồng với bên thứ ba Điều 30, Thông tư Quỹ phải thực hiện: a Đánh giá lực kỹ thuật, nhân sự, khả tài 31/2015/TTNHNN bên thứ ba trước ký kết hợp đồng cung cấp hàng hóa, dịch vụ b Xác định rõ trách nhiệm, quyền hạn nghĩa vụ bên an toàn, bảo mật CNTT ký hợp đồng Hợp đồng với bên thứ ba phải bao gồm điều khoản việc xử lý vi phạm trách nhiệm bồi thường thiệt hại bên thứ ba vi phạm bên thứ ba gây c Xác định, đánh giá rủi ro phát sinh áp dụng biện pháp quản lý rủi ro hệ thống CNTT Quỹ liên quan tới việc thực hợp đồng bên thứ ba d Quỹ không thuê bên thứ ba thực tồn cơng việc 14 Điều Nội dung Văn tham chiếu quản trị (chỉnh sửa cấu hình, liệu, nhật ký) hệ thống CNTT quan trọng Trách nhiệm Quỹ quản lý dịch vụ bên thứ Điều 31, ba cung cấp Thông tư a Cung cấp, thông báo yêu cầu bên thứ ba thực quy 31/2015/TTđịnh Quỹ an toàn bảo mật hệ thống CNTT NHNN b Giám sát kiểm tra dịch vụ bên thứ ba cung cấp đảm bảo mức độ cung cấp dịch vụ, khả hoạt động hệ thống đáp ứng theo thỏa thuận ký kết c Đảm bảo triển khai, trì biện pháp an toàn, bảo mật dịch vụ bên thứ ba cung cấp theo thỏa thuận d Quản lý thay đổi dịch vụ bên thứ ba cung cấp bao gồm: Nâng cấp phiên mới; sử dụng kỹ thuật mới, công cụ môi trường phát triển Đánh giá đầy đủ tác động việc thay đổi, đảm bảo an toàn đưa vào sử dụng e Xác định ghi rõ tính an tồn, mức độ bảo mật dịch vụ yêu cầu quản lý thỏa thuận dịch vụ bên thứ ba cung cấp f Áp dụng biện pháp giám sát chặt chẽ giới hạn quyền truy cập bên thứ ba cho phép họ truy cập vào hệ thống CNTT Quỹ g Giám sát nhân bên thứ ba trình thực hợp đồng Khi phát nhân bên thứ ba vi phạm quy định an toàn bảo mật phải thông báo phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời h Thu hồi quyền truy cập hệ thống CNTT cấp cho bên thứ ba, thay đổi mật nhận bàn giao từ bên thứ ba sau hoàn thành công việc kết thúc hợp đồng Trách nhiệm bên thứ ba cung cấp dịch vụ CNTT a Ký thực cam kết bảo mật thông tin q trình Điều 32, Thơng tư 15 Điều Nội dung Văn tham chiếu triển khai sau hoàn tất hợp đồng 31/2015/TTb Lập kế hoạch, bố trí nhân nguồn lực khác để thực NHNN hợp đồng Thông báo danh sách nhân triển khai cho bên ký kết hợp đồng phải Quỹ chấp thuận Nhân bên thứ ba phải ký cam kết không tiết lộ thông tin quan trọng bên ký kết hợp đồng c Phổ biến quy định, quy chế an toàn bảo mật bên ký kết hợp đồng cho nhân tham gia triển khai thực biện pháp giám sát đảm bảo tuân thủ Tạm dừng đình hoạt động, thu hồi quyền truy cập thông báo cho bên ký kết hợp đồng phát nhân vi phạm quy định an toàn bảo mật Bồi thường thiệt hại nhân tham gia thực hợp đồng gây d Hồ sơ nghiệm thu hợp đồng phải bao gồm báo cáo chi tiết mặt kỹ thuật, hồ sơ hồn cơng lắp đặt thiết bị, cấu hình phần mềm, hướng dẫn vận hành (nếu có) theo nội dung cơng việc bên thứ ba thực e Bàn giao tài sản, quyền truy cập hệ thống CNTT bên ký kết hợp đồng cung cấp hồn thành cơng việc kết thúc hợp đồng Điều 12 Quản lý tiếp nhận, phát triển, trì hệ thống thơng tin u cầu an toàn, bảo mật cho hệ thống CNTT Điều 33, Thông tư Khi xây dựng cải tiến hệ thống CNTT, Quỹ phải: a Xây dựng yêu cầu an toàn, bảo mật đồng thời với việc 31/2015/TTNHNN đưa yêu cầu kỹ thuật, nghiệp vụ b Đánh giá mức độ đáp ứng yêu cầu an toàn, bảo mật sau hoàn thành xây dựng cải tiến hệ thống CNTT Kết đánh giá phải lập thành báo cáo Ban Giám đốc phê duyệt trước đưa vào vận hành thức Đảm bảo an toàn, bảo mật ứng dụng Điều 34, 16 Điều Nội dung Văn tham chiếu Các chương trình ứng dụng nghiệp vụ phải đạt yêu cầu tối Thông tư thiểu sau: 31/2015/TTa Kiểm tra tính hợp lệ liệu nhập vào ứng dụng, đảm NHNN bảo liệu nhập vào xác hợp lệ b Kiểm tra tính hợp lệ liệu cần xử lý tự động ứng dụng nhằm phát thông tin sai lệch lỗi trình xử lý hành vi sửa đổi thơng tin có chủ ý c Có biện pháp đảm bảo tính xác thực bảo vệ toàn vẹn liệu xử lý ứng dụng d Kiểm tra tính hợp lệ liệu xuất từ ứng dụng, đảm bảo q trình xử lý thơng tin ứng dụng xác hợp lệ An tồn, bảo mật chương trình nguồn, liệu kiểm thử tệp tin cấu hình hệ thống a Quỹ xây dựng quy định về: a1 Quản lý, kiểm sốt chương trình nguồn Việc truy cập, tiếp cận chương trình nguồn phải phê duyệt Ban Giám đốc Quỹ a2 Quản lý, bảo vệ tệp tin cấu hình hệ thống Điều 36, Thơng tư 31/2015/TTNHNN b Xây dựng quy trình lựa chọn, quản lý kiểm soát liệu kiểm tra, thử nghiệm Không sử dụng liệu thật hệ thống CNTT vận hành thức cho hoạt động kiểm thử chưa thực biện pháp che giấu thay đổi liệu nhạy cảm Điều 37, Thông tư Quản lý thay đổi hệ thống CNTT 31/2015/TTBan hành quy trình, biện pháp quản lý kiểm soát thay đổi NHNN hệ thống CNTT, tối thiểu bao gồm: a Khi thay đổi hệ điều hành phải kiểm tra xem xét ứng dụng nghiệp vụ quan trọng để đảm bảo hệ thống hoạt động ổn định, an tồn mơi trường 17 Điều Nội dung Văn tham chiếu b Việc sửa đổi gói phần mềm phải quản lý kiểm soát chặt chẽ c Giám sát, quản lý chặt chẽ việc th mua phần mềm bên ngồi Điều 38, Thơng tư Đánh giá an ninh bảo mật hệ thống CNTT 31/2015/TTa Quỹ thực đánh giá an ninh bảo mật hệ thống CNTT với NHNN nội dung sau: a1 Đánh giá kiến trúc hệ thống để xác định tính phù hợp thiết bị lắp đặt với kiến trúc hệ thống tổng thể yêu cầu an ninh bảo mật; a2 Đánh giá tình trạng hoạt động, cấu hình hệ thống CNTT đảm bảo hệ thống hoạt động theo tiêu chuẩn, định mức, yêu cầu kỹ thuật; a3 Kiểm tra cấu hình thiết bị bảo mật, hệ thống cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối, danh sách tài khoản người dùng; a4 Kiểm tra thử nghiệm mức độ an toàn mạng (Penetration Test), bắt buộc phải thực hệ thống CNTT có kết nối cung cấp thơng tin, dịch vụ Internet b Định đánh giá an ninh bảo mật hệ thống CNTT, tối thiểu sau: b1 Sáu tháng lần trang thiết bị giao tiếp trực tiếp với môi trường bên Internet, kết nối với khách hàng bên thứ ba b2 Mỗi năm lần hệ thống CNTT quan trọng, hai năm lần hệ thống CNTT khác theo nội dung đánh giá an ninh bảo mật hệ thống CNTT nêu c Kết đánh giá phải lập thành văn báo cáo Ban Giám đốc Quỹ Đối với nội dung chưa tuân thủ quy định an toàn bảo mật hoạt động CNTT (nếu có) phải đề xuất biện pháp, kế hoạch, thời hạn xử lý, khắc phục 18 Điều Nội dung Văn tham chiếu Điều 39, Thông tư a Quỹ chủ động phát điểm yếu mặt kỹ thuật: 31/2015/TTa1 Thường xuyên cập nhật thông tin liên quan đến lỗ hổng, NHNN điểm yếu mặt kỹ thuật; a2 Thực dò quét, phát lỗ hổng, điểm yếu mặt kỹ thuật hệ thống CNTT sử dụng tối thiểu ba tháng lần hệ thống có kết nối với mơi trường bên ngồi, sáu tháng lần hệ thống khác a3 Đánh giá mức độ tác động, rủi ro lỗ hổng, điểm yếu mặt kỹ thuật phát hệ thống CNTT sử dụng đưa phương án xử lý a4 Quỹ xây dựng, tổ chức triển khai giải pháp xử lý, khắc phục báo cáo kết xử lý Quản lý điểm yếu mặt kỹ thuật Điều 13 Quản lý cố CNTT Quy trình xử lý cố Điều 40, Thông tư a Tiếp nhận thông tin cố phát sinh b Đánh giá xác định mức độ, phạm vi ảnh hưởng cố đến 31/2015/TTNHNN hoạt động hệ thống CNTT Tùy theo mức độ, phạm vi ảnh hưởng cố phải báo cáo đến cấp quản lý tương ứng để đạo xử lý c Thực biện pháp xử lý, khắc phục cố d Ghi nhận hồ sơ báo cáo kết xử lý cố e Quy định trách nhiệm cá nhân, tập thể việc báo cáo, tiếp nhận, xử lý cố CNTT f Xây dựng mẫu biểu để ghi nhận, lưu trữ hồ sơ xử lý cố Điều 41, Thơng tư a Các cố an tồn hệ thống CNTT phải báo 31/2015/TTcáo đến người có thẩm quyền người có liên NHNN quan để có biện pháp khắc phục thời gian sớm Kiểm soát khắc phục cố 19 Điều Nội dung Văn tham chiếu b Đánh giá xác định nguyên nhân thực biện pháp phòng ngừa tránh cố tái diễn c Quá trình xử lý cố phải ghi chép lưu trữ Quỹ Thực biện pháp bảo vệ, chống chỉnh sửa, hủy hoại tài liệu cố lưu trữ d Thu thập, ghi chép, bảo toàn chứng, chứng phục vụ cho việc kiểm tra, xử lý, khắc phục phòng ngừa cố Trong trường hợp cố CNTT có liên quan đến vi phạm pháp luật, Quỹ có trách nhiệm thu thập cung cấp chứng cho quan có thẩm quyền theo quy định pháp luật Điều 14 Đảm bảo hoạt động liên tục hệ thống CNTT Các phận liên quan có trách nhiệm xác định đánh giá rủi ro xảy năm hệ thống CNTT trọng yếu có ảnh hưởng lớn đến hoạt động Quỹ Xây dựng triển khai kế hoạch, quy trình đảm bảo hoạt động liên tục hệ thống CNTT trọng yếu Thực kiểm tra, thử nghiệm, đánh giá cập nhật quy trình đảm bảo hoạt động liên tục hệ thống CNTT trọng yếu tối thiểu … tháng lần Kế hoạch, quy trình đảm bảo hoạt động liên tục phải kiểm tra, đánh giá cập nhật có thay đổi hệ thống Điều 15 Kiểm tra nội chế độ báo cáo Kiểm tra nội Điều 45, Thông tư a Xây dựng quy định kiểm tra nội cơng tác đảm bảo an 31/2015/TTtồn bảo mật hoạt động CNTT Quỹ NHNN b Xây dựng kế hoạch thực công tác tự tổ chức kiểm tra việc tuân thủ quy định Thông tư 31/2015/TT-NHNN quy định Quỹ đảm bảo an toàn bảo mật hoạt động CNTT tối thiểu năm lần c Kết kiểm tra công tác đảm bảo an toàn bảo mật hoạt 20 Điều Nội dung Văn tham chiếu động CNTT Quỹ phải lập thành báo cáo gửi Ban Giám đốc Quỹ, vấn đề tồn chưa đảm bảo tuân thủ quy định an toàn bảo mật hoạt động CNTT (nếu có) phải kiến nghị, đề xuất xử lý, khắc phục d Tổ chức thực báo cáo kết xử lý, khắc phục vấn đề tồn Chế độ báo cáo Điều 46, Thông tư Quỹ gửi báo cáo Ngân hàng Nhà nước (Cục Công nghệ tin 31/2015/TThọc) văn tiếng Việt sau: NHNN a Báo cáo năm a1 Nội dung báo cáo: - Việc thực đảm bảo an toàn, bảo mật hệ thống CNTT theo quy định Thông tư 31/2015/TT-NHNN; - Các nội dung chỉnh sửa, bổ sung quy chế an toàn, bảo mật hệ thống CNTT Quỹ (nếu có) a2 Thời hạn gửi báo cáo: trước ngày 31 tháng 01 năm tiếp theo; a3 Hình thức mẫu báo cáo: Theo hướng dẫn Ngân hàng Nhà nước (Cục Công nghệ tin học) b Báo cáo đột xuất b1 Các cố an toàn hệ thống CNTT: - Thời hạn gửi báo cáo: thời gian 01 (một) ngày kể từ thời điểm vụ, việc phát hiện; - Nội dung vụ, việc; - Thời gian, địa điểm phát sinh vụ, việc; - Nguyên nhân xảy vụ, việc (nếu có); - Đánh giá rủi ro, ảnh hưởng hệ thống CNTT nghiệp vụ nơi xảy vụ, việc địa điểm khác có liên quan; - Các biện pháp Quỹ tiến hành để ngăn chặn, khắc phục phòng ngừa rủi ro; 21 Điều Nội dung Văn tham chiếu - Kiến nghị, đề xuất b2 Triển khai mới, nâng cấp đưa vào ứng dụng hệ thống CNTT tin quan trọng: - Thời hạn gửi báo cáo: Chậm 05 (năm) ngày trước áp dụng thức; - Hệ thống, ứng dụng dự kiến triển khai; - Phạm vi áp dụng; - Kết kiểm tra, kiểm thử; - Kế hoạch triển khai thực hiện; - Đánh giá rủi ro, mức độ ảnh hưởng hệ thống hệ thống CNTT có Quỹ; - Đề xuất, kiến nghị b3 Các trường hợp đột xuất khác theo yêu cầu Ngân hàng Nhà nước CHƯƠNG III ĐIỀU KHOẢN THI HÀNH Điều 16 Tổ chức thực Quy chế có hiệu lực kể từ ngày / /201x Hội đồng quản trị Quỹ tín dụng nhân dân XXX, Ban Giám đốc, Ban tín dụng phận liên quan có trách nhiệm thi hành Quy chế Điều 17 Việc sửa đổi, bổ sung Quỹ phải rà sốt, chỉnh sửa, hồn thiện quy chế an toàn, bảo mật hệ thống CNTT tối thiểu năm lần, đảm bảo đầy đủ quy chế theo quy định Thông tư 31/2015/TTNHNN Khi phát bất cập, bất hợp lý gây an toàn hệ thống CNTT theo yêu cầu quan có thẩm quyền, Hội đồng quản trị thực sửa đổi, bổ sung quy chế an tồn, bảo mật hệ thống cơng nghệ thông tin ban hành 22 T/M HỘI ĐỒNG QUẢN TRỊ CHỦ TỊCH 23 ... tư a Ban hành triển khai quy trình vận hành hệ thống CNTT, tối thiểu bao gồm: Quy trình khởi động, đóng hệ thống; 31/2015/TTNHNN quy trình lưu, phục hồi liệu; quy trình vận hành ứng dụng; quy trình... dùng phải bao gồm tên định danh mã khóa bí mật Tài sản vật lý thiết bị công nghệ thông tin, phương tiện truyền thông thiết bị phục vụ cho hoạt động hệ thống công nghệ thông tin Vật mang tin phương... bất hợp pháp vào mạng Trao đổi thông tin Điều 21, a Ban hành quy định trao đổi thông tin tối thiểu gồm: Quy? ??n Thông tư trách nhiệm cá nhân tiếp cận thơng tin; biện pháp 31/2015/TTđảm bảo tính