TT-NHNN an toàn hệ thống thông tin trong hoạt động ngân hàng - HoaTieu.vn

8. Đối với hệ thống thông tin từ cấp độ 3 trở lên, các hệ thống thông tin xử lý thông tin khách hàng hoặc hệ thống thông tin sử dụng dịch vụ điện toán đám mây, phải đánh giá sự tuân thủ [r]

NGÂN HÀNG NHÀ NƯỚC VIỆT NAM

_ Số: 09/2020/TT-NHNN

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc

Hà Nội, ngày 21 tháng 10 năm 2020

THÔNG TƯ

Quy định an tồn hệ thống thơng tin hoạt động ngân hàng _

Căn Luật Ngân hàng Nhà nước Việt Nam ngày 16 tháng năm 2010;

Căn Luật Các tổ chức tín dụng ngày 16 tháng năm 2010 Luật sửa đổi, bổ sung số điều Luật Các tổ chức tín dụng ngày 20 tháng 11 năm 2017;

Căn Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005; Căn Luật Công nghệ thông tin ngày 29 tháng năm 2006; Căn Luật An tồn thơng tin mạng ngày 19 tháng 11 năm 2015; Căn Luật An ninh mạng ngày 12 tháng năm 2018;

Căn Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 Chính phủ quy định bảo đảm an tồn hệ thống thơng tin theo cấp độ;

Căn Nghị định số 16/2017/NĐ-CP ngày 17 tháng 02 năm 2017 Chính phủ quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Ngân hàng Nhà nước Việt Nam;

Theo đề nghị Cục trưởng Cục Công nghệ thông tin;

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định an tồn hệ thống thơng tin hoạt động ngân hàng.

Chương I QUY ĐỊNH CHUNG

Điều Phạm vi điều chỉnh đối tượng áp dụng

1 Thông tư quy định yêu cầu tối thiểu bảo đảm an toàn hệ thống thông tin hoạt động ngân hàng

2 Thông tư áp dụng tổ chức tín dụng, chi nhánh ngân hàng nước ngồi, tổ chức cung ứng dịch vụ trung gian tốn, cơng ty thơng tin tín dụng, Cơng ty cổ phần Thanh tốn Quốc gia Việt Nam, Cơng ty Quản lý tài sản tổ chức tín dụng Việt Nam, Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam (sau gọi chung tổ chức) có thiết lập sử dụng hệ thống thông tin phục vụ cho nhiều hoạt động kỹ thuật, nghiệp vụ tổ chức

Điều Giải thích từ ngữ

Trong Thông tư này, từ ngữ hiểu sau:

1 Rủi ro công nghệ thông tin khả xảy tổn thất thực hoạt động liên quan đến hệ thống thông tin Rủi ro công nghệ thông tin liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành người

3 Điểm yếu mặt kỹ thuật thành phần hệ thống thông tin dễ bị khai thác, lợi dụng bị công xâm nhập bất hợp pháp

4 Trung tâm liệu bao gồm hạ tầng kỹ thuật (nhà trạm, hệ thống cáp) hệ thống máy tính thiết bị phụ trợ lắp đặt vào để xử lý, lưu trữ, trao đổi quản lý tập trung liệu

5 Thiết bị di động thiết bị số thiết kế di chuyển mà khơng ảnh hưởng tới khả hoạt động, có hệ điều hành, có khả xử lý, kết nối mạng có hình hiển thị máy tính xách tay, máy tính bảng, điện thoại di động thơng minh

6 Vật mang tin phương tiện vật chất dùng để lưu giữ truyền nhận thông tin số

7 Tường lửa tập hợp thành phần hay hệ thống trang thiết bị, phần mềm đặt hai mạng, nhằm kiểm soát tất kết nối từ bên bên mạng ngược lại

8 Mạng khơng tin cậy mạng bên ngồi có kết nối vào mạng tổ chức không thuộc quản lý tổ chức không thuộc quản lý tổ chức tín dụng nước ngồi mà tổ chức có quan hệ đơn vị phụ thuộc, diện thương mại Việt Nam.

8 Dịch vụ điện toán đám mây dịch vụ cung cấp tài ngun máy tính (bao gồm tài ngun tính tốn, tài nguyên kết nối mạng, tài nguyên lưu trữ, tài nguyên phần mềm tài nguyên máy tính khác) qua môi trường mạng cho phép nhiều đối tượng sử dụng, điều chỉnh tốn theo nhu cầu sử dụng

10 Tài khoản người sử dụng (tài khoản) tập hợp thông tin đại diện cho người sử dụng hệ thống thông tin, sử dụng để đăng nhập truy cập tài nguyên cấp phép hệ thống thông tin

11 Bên thứ ba cá nhân, doanh nghiệp (khơng bao gồm tổ chức tín dụng nước ngồi thành viên thuộc tổ chức tín dụng nước trường hợp tổ chức đơn vị phụ thuộc, diện thương mại Việt Nam tổ chức tín dụng nước ngồi) có thỏa thuận văn (gọi chung hợp đồng sử dụng dịch vụ) với tổ chức nhằm cung cấp dịch vụ công nghệ thông tin

12 Người đại diện hợp pháp tổ chức người đại diện theo pháp luật tổ chức tín dụng, doanh nghiệp, Tổng giám đốc (Giám đốc) chi nhánh ngân hàng nước

13 Cấp có thẩm quyền chức danh người người đại diện hợp pháp tổ chức phân cấp quản lý, phân cồng, ủy quyền văn để thực chức năng, nhiệm vụ tổ chức

14 Xác thực đa yếu tố phương pháp xác thực yêu cầu tối thiểu hai yếu tố để chứng minh tính đắn danh tính Các yếu tố xác thực bao gồm: (i) Những thông tin mà người dùng biết (số PIN, mã khố bí mật, ); (ii) Những mà người dùng sở hữu (thẻ thông minh, thiết bị token, điện thoại di động ); (iii) Những dấu hiệu sinh trắc học người dùng

Điều Nguyên tắc chung

1 Tổ chức có trách nhiệm bảo đảm an tồn thơng tin theo ngun tắc xác định rõ quyền hạn, trách nhiệm phận cá nhân tổ chức

2 Hệ thống thông tin phân loại theo cấp độ quy định Điều Thông tư áp dụng sách an tồn thơng tin phù hợp

loại, đánh giá kịp thời xử lý có hiệu

4 Việc xây dựng, triển khai quy chế an tồn thơng tin thực sở quy định Thơng tư hài hịa lợi ích, chi phí cấp độ chấp nhận rủi ro tổ chức

Điều Phân loại thông tin

Thông tin xử lý, lưu trữ thông qua hệ thống thơng tin phân loại theo thuộc tính bí mật sau:

1 Thông tin công cộng thông tin công khai cho tất đối tượng mà khơng cần xác định danh tính, địa cụ thể đối tượng đó;

2 Thơng tin riêng (hoặc thông tin nội bộ) thông tin phân quyền quản lý, khai thác cho một nhóm đối tượng xác định danh tính;

3 Thông tin cá nhân thông tin định danh khách hàng thông tin sau đây: thông tin tài khoản, thông tin tiền gửi, thông tin tài sản gửi, thông tin giao dịch thơng tin có liên quan khác;

4 Thơng tin bí mật là: (i) Thơng tin Mật, Tối Mật, Tuyệt Mật theo quy định pháp luật bảo vệ bí mật nhà nước; (ii) Thơng tin hạn chế tiếp cận theo quy định tổ chức

Điều Phân loại hệ thống thông tin

1 Đối với hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng, tổ chức thực phân loại theo quy định Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 Chính phủ quy định bảo đảm an tồn hệ thống thông tin theo cấp độ Đối với hệ thống thông tin khác, thực phân loại theo quy định khoản 2, 3, 4, 5, 6, Điều

2 Hệ thống thông tin cấp độ hệ thống thông tin phục vụ hoạt động nội tổ chức xử lý thông tin công cộng

3 Hệ thống thông tin cấp độ hệ thống thơng tin có tiêu chí sau: a) Hệ thống thơng tin phục vụ hoạt động nội tổ chức, có xử lý thông tin riêng, thông tin cá nhân người sử dụng, thông tin hạn chế tiếp cận theo quy định tổ chức không xử lý thông tin bí mật nhà nước;

b) Hệ thống thơng tin phục vụ khách hàng không yêu cầu vận hành 24/7;

c) Hệ thống sở hạ tầng thông tin phục vụ hoạt động số phận thuộc tổ chức tổ chức tài vi mơ, quỹ tín dụng nhân dân sở

4 Hệ thống thông tin cấp độ hệ thống thông tin có tiêu chí sau: a) Hệ thống thơng tin xử lý thơng tin bí mật nhà nước cấp độ Mật;

b) Hệ thống thông tin phục vụ hoạt động nội hàng ngày tổ chức không chấp nhận ngừng vận hành làm việc kể từ thời điểm ngừng vận hành;

c) Hệ thống thông tin phục vụ khách hàng yêu cầu vận hành 24/7 không chấp nhận ngừng vận hành mà khơng có kế hoạch trước;

d) Các hệ thống toán sử dụng bên thứ ba dùng để tốn ngồi hệ thống tổ chức;

đ) Hệ thống sở hạ tầng thông tin dùng chung phục vụ hoạt động tổ chức ngành Ngân hàng

a) Hệ thống thơng tin xử lý thơng tin bí mật nhà nước cấp độ Tối Mật;

b) Hệ thống thơng tin phục vụ khách hàng có xử lý, lưu trữ liệu 10 triệu khách hàng trở lên;

c) Hệ thống thông tin quốc gia ngành Ngân hàng, yêu cầu vận hành 24/7 khơng chấp nhận ngừng vận hành mà khơng có kế hoạch trước;

d) Các hệ thống toán quan trọng ngành Ngân hàng theo quy định Ngân hàng Nhà nước;

đ) Hệ thống sở hạ tầng thông tin dùng chung phục vụ hoạt động ngành Ngân hàng, yêu cầu vận hành 24/7 không chấp nhận ngừng vận hành mà khơng có kế hoạch trước

6 Hệ thống thông tin cấp độ hệ thống thơng tin có tiêu chí sau: a) Hệ thống thơng tin xử lý thơng tin bí mật nhà nước cấp độ Tuyệt Mật;

b) Hệ thống thông tin quốc gia ngành Ngân hàng phục vụ kết nối liên thông hoạt động Việt Nam với quốc tế;

c) Hệ thống sở hạ tầng thông tin quốc gia ngành Ngân hàng phục vụ kết nối liên thông hoạt động Việt Nam với quốc tế

7 Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, hệ thống thành phần lại tương ứng với cấp độ khác nhau, cấp độ hệ thống thông tin xác định cấp độ cao cấp độ hệ thống thành phần cấu thành

8 Tổ chức thực phân loại hệ thống thông tin theo cấp độ quy định khoản 1, 2, 3, 4, 5, 6, Điều Hồ sơ, thủ tục thẩm định, phê duyệt hệ thống thông tin theo cấp độ tuân thủ quy định Nghị định số 85/2016/NĐ-CP Đối với hồ sơ đề xuất hệ thống thông tin cấp độ 4, 5, tổ chức gửi hồ sơ cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) để lấy ý kiến

9 Danh sách hệ thống thông tin theo cấp độ phải lập rà soát, cập nhật sau hệ thống triển khai định kỳ hàng năm

Điều Quy chế an tồn thơng tin

1 Tổ chức xây dựng quy chế an tồn thơng tin phù hợp với hệ thống thông tin, cấu tổ chức, yêu cầu quản lý hoạt động tổ chức Quy chế an tồn thơng tin phải người đại diện hợp pháp ký ban hành triển khai thực toàn tổ chức

2 Quy chế an tồn thơng tin tối thiểu gồm nội dung sau: a) Quản lý tài sản công nghệ thông tin;

b) Quản lý nguồn nhân lực;

c) Bảo đảm an toàn mặt vật lý môi trường lắp đặt; d) Quản lý vận hành trao đổi thông tin;

đ) Quản lý truy cập;

e) Quản lý sử dụng dịch vụ công nghệ thông tin bên thứ ba; g) Quản lý tiếp nhận, phát triển, trì hệ thống thơng tin; h) Quản lý cố an tồn thơng tin;

k) Kiểm tra nội chế độ báo cáo

3 Tổ chức rà soát quy chế an tồn thơng tin tối thiểu năm lần, bảo đảm đầy đủ quy chế theo quy định Thông tư Khi phát bất cập, bất hợp lý gây an toàn thơng tin theo u cầu quan có thẩm quyền, tổ chức tiến hành chỉnh sửa, bổ sung quy chế an tồn thơng tin ban hành

Chương II

CÁC QUY ĐỊNH VỀ BẢO ĐẢM AN TỒN THƠNG TIN

Mục 1

QUẢN LÝ TÀI SẢN CÔNG NGHỆ THÔNG TIN

Điều Quản lý tài sản công nghệ thông tin Các loại tài sản công nghệ thông tin bao gồm:

a) Tài sản thông tin: liệu, thông tin dạng số xử lý, lưu trữ thông qua hệ thống thông tin;

b) Tài sản vật lý: thiết bị công nghệ thông tin, phương tiện truyền thông, vật mang tin thiết bị phục vụ cho hoạt động hệ thống thông tin;

c) Tài sản phần mềm: phần mềm hệ thống, phần mềm tiện ích, phần mềm lớp giữa, hệ quản trị sở liệu, chương trình ứng dụng, mã nguồn công cụ phát triển

2 Tổ chức lập danh sách tất tài sản công nghệ thông tin gắn với hệ thống thông tin theo quy định khoản 9, Điều Thông tư Định kỳ hàng năm rà soát cập nhật danh sách tài sản công nghệ thông tin

3 Căn theo cấp độ hệ thống thông tin, tổ chức thực biện pháp quản lý, bảo vệ phù hợp với loại tài sản công nghệ thông tin

4 Căn phân loại tài sản công nghệ thông tin khoản Điều này, tổ chức xây dựng thực quy định quản lý sử dụng tài sản theo quy định Điều 8, 9, 10, 11 Điều 12 Thông tư

Điều Quản lý tài sản thông tin

1 Với hệ thống thông tin, tổ chức phải lập danh sách tài sản thông tin, quy định thẩm quyền, trách nhiệm cá nhân phận tổ chức tiếp cận, khai thác quản lý

2 Tài sản thông tin phải phân loại theo loại thông tin quy định Điều Thông tư

3 Tài sản thông tin thuộc loại thơng tin bí mật phải mã hóa có biện pháp bảo vệ để bảo mật thông tin trình tạo lập, trao đổi, lưu trữ

4 Tài sản thông tin hệ thống thông tin từ cấp độ trở lên phải áp dụng phương án chống thất thoát liệu

Điều Quản lý tài sản vật lý

1 Tài sản vật lý thiết bị di động, vật mang tin, quy định Điều này, phải quản lý theo quy định Điều 11, Điều 12 Thông tư

mục đích sử dụng, tình trạng sử dụng, hệ thống thông tin tương ứng

3 Tài sản vật lý phải giao, gán trách nhiệm cho cá nhân phận quản lý, sử dụng

4 Tài sản vật lý mang khỏi trụ sở tổ chức phải phê duyệt cấp có thẩm quyền phải thực biện pháp bảo vệ để bảo mật thông tin lưu trữ tài sản tài sản có chứa thơng tin bí mật

5 Tài sản vật lý có lưu trữ thơng tin bí mật thay đổi mục đích sử dụng lý phải thực biện pháp tiêu hủy xóa thơng tin bí mật bảo đảm khơng có khả phục hồi Trường hợp khơng thể tiêu hủy thơng tin bí mật, tổ chức thực biện pháp tiêu hủy cấu phần lưu trữ liệu tài sản

Điều 10 Quản lý tài sản phần mềm

1 Với hệ thống thông tin tổ chức quản lý trực tiếp, tổ chức phải lập danh sách tài sản phần mềm với thông tin gồm: tên tài sản, giá trị, mục đích sử dụng, phạm vi sử dụng, chủ thể quản lý, thông tin quyền, phiên bản, hệ thống thông tin thành phần (nếu có)

2 Tài sản phần mềm phải gắn trách nhiệm cho cá nhân phận quản lý Tài sản phần mềm phải tổ chức định kỳ rà soát cập nhật vá lỗi an ninh bảo mật

4 Tài sản phần mềm lưu trữ vật mang tin phải tuân thủ quy định Điều 12 Thông tư

Điều 11 Quản lý sử dụng thiết bị di động

1 Các thiết bị di động kết nối vào hệ thống mạng nội tổ chức phải đăng ký để kiểm soát

2 Giới hạn phạm vi kết nối từ thiết bị di động đến dịch vụ, hệ thống thông tin tổ chức; kiểm soát kết nối từ thiết bị di động tới hệ thống thông tin phép sử dụng tổ chức

3 Quy định trách nhiệm cá nhân tổ chức sử dụng thiết bị di động để phục vụ công việc

4 Thiết bị di động sử dụng để phục vụ công việc phải áp dụng biện pháp kỹ thuật tối thiểu sau:

a) Thiết lập chức vơ hiệu hóa, khóa thiết bị xóa liệu từ xa trường hợp thất lạc bị cắp;

b) Sao lưu liệu thiết bị di động nhằm bảo vệ, khôi phục liệu cần thiết; c) Thực biện pháp bảo vệ liệu bảo hành, bảo trì, sửa chữa thiết bị di động

5 Với thiết bị di động tài sản tổ chức, việc áp dụng quy định khoản Điều này, tổ chức phải áp dụng biện pháp kỹ thuật tối thiểu sau đây:

a) Kiểm soát phần mềm cài đặt; cập nhật phiên phần mềm vá lỗi thiết bị di động;

Điều 12 Quản lý sử dụng vật mang tin

Tổ chức phải quản lý sử dụng vật mang tin theo quy định sau:

1 Kiểm soát việc đấu nối, gỡ bỏ vật mang tin với thiết bị thuộc hệ thống thông tin Triển khai biện pháp bảo đảm an toàn vật mang tin vận chuyển, lưu trữ Thực biện pháp bảo vệ thơng tin bí mật chứa vật mang tin Quy định trách nhiệm cá nhân quản lý, sử dụng vật mang tin

Mục 2

QUẢN LÝ NGUỒN NHÂN LỰC

Điều 13 Tổ chức nguồn nhân lực

1 Người đại diện hợp pháp phải trực tiếp tham gia đạo có trách nhiệm cơng tác xây dựng chiến lược, kế hoạch bảo đảm an tồn thơng tin, ứng cứu cố an tồn thơng tin xảy tổ chức

2 Tổ chức có hệ thống thơng tin từ cấp độ trở xuống định phận có trách nhiệm đảm bảo an tồn thơng tin

3 Tổ chức quản lý trực tiếp hệ thống thông tin từ cấp độ trở lên thực hiện:

a) Thành lập định phận chun trách an tồn thơng tin có chức năng, nhiệm vụ bảo đảm an tồn thơng tin ứng cứu cố an tồn thơng tin cho tổ chức;

b) Tách biệt nhân nhiệm vụ: (i) Phát triển với quản trị hệ thống thông tin; (ii) Phát triển với vận hành hệ thống thông tin; (iii) Quản trị với vận hành hệ thống thơng tin; (iv) Kiểm tra an tồn thơng tin với phát triển, quản trị, vận hành hệ thống thông tin

Điều 14 Tuyển dụng phân công nhiệm vụ

Tổ chức tuyển dụng nhân phân công nhiệm vụ theo quy định sau:

1 Xác định trách nhiệm việc bảo đảm an toàn thơng tin vị trí cần tuyển dụng phân công

2 Xem xét, đánh giá tư cách đạo đức, trình độ chun mơn thơng qua lý lịch, lý lịch tư pháp trước phân công nhân làm việc vị trí quan trọng hệ thống thông tin như: vận hành hệ thống thông tin từ cấp độ trở lên quản trị hệ thống thông tin

3 Yêu cầu người tuyển dụng cam kết bảo mật thông tin văn riêng cam kết hợp đồng lao động Cam kết phải bao gồm Điều Khoản trách nhiệm bảo đảm an tồn thơng tin sau làm việc tổ chức

4 Đào tạo, phổ biến quy định tổ chức an toàn thông tin nhân tuyển dụng

Điều 15 Quản lý sử dụng nguồn nhân lực Tổ chức quản lý nguồn nhân lực sau:

1 Phổ biến, cập nhật quy định an toàn thông tin cho tất cá nhân tổ chức tối thiểu năm lần

2 Kiểm tra việc tn thủ quy định an tồn thơng tin cá nhân, phận trực thuộc tối thiểu năm lần

toàn thông tin theo quy định pháp luật quy định tổ chức Điều 16 Chấm dứt thay đổi công việc

Khi cá nhân tổ chức chấm dứt thay đổi công việc, tổ chức thực hiện: Xác định trách nhiệm cá nhân chấm dứt thay đổi công việc Yêu cầu cá nhân bàn giao lại tài sản công nghệ thông tin

3 Thu hồi quyền truy cập hệ thống thông tin cá nhân nghỉ việc

4 Thay đổi kịp thời quyền truy cập hệ thống thông tin cá nhân thay đổi công việc bảo đảm nguyên tắc quyền vừa đủ để thực nhiệm vụ giao

5 Rà soát, kiểm tra đối chiếu định kỳ tối thiểu sáu tháng lần phận hệ thống quản lý nhân phận quản lý cấp phát, thu hồi quyền truy cập hệ thống thông tin nhằm bảo đảm tuân thủ khoản 3, khoản Điều

6 Thông báo cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) trường hợp cá nhân làm việc lĩnh vực công nghệ thông tin tổ chức bị kỷ luật với hình thức sa thải, buộc thơi việc bị truy tố tội quy định Mục Chương XXI Bộ luật Hình (Tội phạm lĩnh vực công nghệ thông tin, mạng viễn thông)

Mục 3

BẢO ĐẢM AN TOÀN VỀ MẶT VẬT LÝ VÀ MÔI TRƯỜNG NƠI LẮP ĐẶT TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN

Điều 17 Yêu cầu chung nơi lắp đặt trang thiết bị công nghệ thông tin Bảo vệ tường bao, cổng vào có biện pháp kiểm sốt, hạn chế rủi ro xâm nhập trái phép

2 Thực biện pháp phòng chống nguy cháy nổ, ngập lụt

3 Các khu vực có yêu cầu cao an toàn, bảo mật khu vực lắp đặt máy chủ, thiết bị lưu trữ, thiết bị an ninh bảo mật, thiết bị truyền thông hệ thống thông tin từ cấp độ trở lên phải cách ly với khu vực dùng chung, phân phối, chuyển hàng; ban hành nội quy, hướng dẫn làm việc áp dụng biện pháp kiểm sốt vào khu vực

Điều 18 Yêu cầu trung tâm liệu

Ngoài việc bảo đảm yêu cầu Điều 17 Thông tư này, trung tâm liệu phải bảo đảm yêu cầu sau:

1 Cổng vào tòa nhà trung tâm liệu phải có người kiểm sốt 24/7

2 Cửa vào trung tâm liệu phải chắn, có khả chống cháy, sử dụng hai loại khóa khác phải có biện pháp bảo vệ giám sát 24/7

3 Khu vực lắp đặt thiết bị phải tránh nắng chiếu rọi trực tiếp, chống thấm dột nước, tránh ngập lụt Khu vực lắp đặt thiết bị hệ thống thông tin từ cấp độ trở lên phải bảo vệ, giám sát 24/7

4 Có tối thiểu nguồn điện lưới nguồn điện máy phát Có hệ thống chuyển mạch tự động hai nguồn điện, cắt điện lưới máy phát phải tự động khởi động cấp nguồn Nguồn điện phải đấu nối qua hệ thống lưu điện để cấp nguồn cho thiết bị, bảo đảm khả trì hoạt động liên tục hệ thống thông tin

6 Có hệ thống chống sét trực tiếp lan truyền

7 Có hệ thống báo cháy chữa cháy tự động Hệ thống chữa cháy bảo đảm chữa cháy không làm hư hỏng thiết bị lắp đặt bên trong, trừ trường hợp tổ chức có hệ thống dự phịng bảo đảm an tồn tuyệt đối cho liệu có khả thay hồn tồn hệ thống vịng 01

8 Có hệ thống sàn kỹ thuật lớp cách ly chống nhiễm điện; hệ thống tiếp địa Có hệ thống camera giám sát, lưu trữ liệu giám sát tối thiểu 90 ngày

10 Có hệ thống theo dõi, kiểm sốt nhiệt độ, độ ẩm 11 Có hồ sơ nhật ký kiểm soát vào trung tâm liệu Điều 19 An toàn tài sản vật lý

1 Tài sản vật lý phải bố trí, lắp đặt địa điểm an toàn bảo vệ để giảm thiểu rủi ro đe dọa, hiểm họa từ môi trường xâm nhập trái phép

2 Tài sản vật lý thuộc hệ thống thông tin từ cấp độ trở lên phải bảo đảm nguồn điện hệ thống hỗ trợ nguồn điện bị gián đoạn Phải có biện pháp chống tải hay sụt giảm điện áp, chống sét lan truyền; có hệ thống tiếp địa; có hệ thống máy phát điện dự phòng hệ thống lưu điện bảo đảm thiết bị hoạt động liên tục

3 Dây cáp cung cấp nguồn điện dây cáp truyền thông sử dụng truyền tải liệu hay dịch vụ hỗ trợ thông tin phải bảo vệ khỏi xâm phạm hư hại

4 Các trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên trụ sở làm việc tổ chức phải có biện pháp giám sát, bảo vệ an tồn phòng chống truy cập bất hợp pháp

Mục 4

QUẢN LÝ VẬN HÀNH VÀ TRAO ĐỔI THÔNG TIN

Điều 20 Trách nhiệm quản lý quy trình vận hành tổ chức

1 Tổ chức ban hành quy trình, tài liệu vận hành hệ thống thông tin từ cấp độ trở lên, tối thiểu bao gồm nội dung: quy trình bật, tắt hệ thống; quy trình lưu, phục hồi liệu; quy trình vận hành ứng dụng; quy trình xử lý cố; quy trình giám sát ghi nhật ký hoạt động hệ thống Trong phải xác định rõ phạm vi, trách nhiệm người sử dụng, vận hành hệ thống Định kỳ tối thiểu năm lần, tổ chức thực rà soát, cập nhật, bổ sung quy trình vận hành hệ thống thơng tin để phù hợp thực tế

2 Tổ chức triển khai quy trình đến tồn đối tượng tham gia vận hành giám sát tuân thủ việc thực quy trình ban hành

3 Môi trường vận hành hệ thống thông tin từ cấp độ trở lên hệ thống thơng tin có xử lý thơng tin cá nhân khách hàng phải đáp ứng yêu cầu:

a) Tách biệt với môi trường phát triển, kiểm tra thử nghiệm; b) Áp dụng giải pháp bảo đảm an tồn thơng tin;

c) Khơng cài đặt công cụ, phương tiện phát triển ứng dụng;

d) Loại bỏ tắt tính năng, phần mềm tiện ích không sử dụng hệ thống thông tin

duyệt giao dịch;

b) Áp dụng xác thực đa yếu tố bước phê duyệt cuối thực giao dịch tài phát sinh chuyển tiền điện tử liên ngân hàng có giá trị từ 100 triệu đồng trở lên (ngoại trừ hệ thống tốn xun suốt (Straight Though Process) có biện pháp xác thực tự động giao dịch hệ thống liên thông);

c) Áp dụng biện pháp bảo đảm tính tồn vẹn liệu giao dịch;

d) Mọi thao tác hệ thống phải lưu vết, sẵn sàng cho kiểm tra, kiểm soát cần thiết

Điều 21 Lập kế hoạch chấp nhận hệ thống thông tin

1 Tổ chức xây dựng tiêu chuẩn, định mức, yêu cầu kỹ thuật để bảo đảm hoạt động bình thường tất hệ thống thơng tin có hệ thống thông tin khác trước đưa vào áp dụng thức

2 Căn tiêu chuẩn, định mức, yêu cầu kỹ thuật xây dựng, tổ chức giám sát, tối ưu hiệu suất hệ thống thông tin; đánh giá khả đáp ứng, tình trạng hoạt động, cấu hình hệ thống hệ thống thơng tin để dự báo, lập kế hoạch mở rộng, nâng cấp bảo đảm khả đáp ứng tương lai Tổ chức rà soát, cập nhật tiêu chuẩn, định mức, yêu cầu kỹ thuật có thay đổi hệ thống thông tin; thực đào tạo chuyển giao kỹ thuật nội dung thay đổi cho nhân có liên quan

Điều 22 Sao lưu dự phòng

Tổ chức thực lưu dự phịng bảo đảm an tồn liệu sau:

1 Lập danh sách hệ thống thông tin theo cấp độ quan trọng cần lưu, kèm theo thời gian lưu trữ, định kỳ lưu, phương pháp lưu thời gian kiểm tra phục hồi hệ thống từ liệu lưu

2 Dữ liệu hệ thống thông tin từ cấp độ trở lên phải có phương án tự động lưu phù hợp với tần suất thay đổi liệu bảo đảm nguyên tắc liệu phát sinh phải lưu vòng 24 giờ; liệu hệ thống thơng tin cịn lại thực lưu định kỳ theo quy định tổ chức

3 Dữ liệu lưu hệ thống thông tin từ cấp độ trở lên phải lưu trữ phương tiện lưu trữ (như băng từ, đĩa cứng, đĩa quang phương tiện lưu trữ khác) cất giữ, bảo quản an toàn tách rời với khu vực lắp đặt hệ thống thông tin nguồn ngày làm việc ngày hoàn thành việc luư

4 Kiểm tra, phục hồi liệu lưu từ phương tiện lưu trữ theo định kỳ tối thiểu:

a) Một năm lần hệ thống thông tin từ cấp độ trở lên; b) Hai năm lần với hệ thống khác

Điều 23 Quản lý an toàn, bảo mật hệ thống mạng

Tổ chức thực quản lý an toàn, bảo mật hệ thống mạng sau:

1 Xây dựng quy định quản lý an toàn, bảo mật hệ thống mạng quản lý thiết bị đầu cuối toàn hệ thống mạng

2 Lập, lưu trữ hồ sơ sơ đồ logic vật lý hệ thống mạng, bao gồm mạng diện rộng (WAN/Intranet) mạng nội (LAN)

a) Chia tách thành vùng mạng khác theo đối tượng sử dụng, mục đích sử dụng hệ thống thơng tin, tối thiểu: (i) Có phân vùng mạng riêng cho máy chủ ứng dụng sở liệu hệ thống thông tin từ cấp độ trở lên; (ii) Có phân vùng mạng trung gian (DMZ) để cung cấp dịch vụ mạng Internet; (iii) Có phân vùng mạng riêng để cung cấp dịch vụ mạng khơng dây;

b) Có thiết bị có chức tường lửa để kiểm sốt kết nối, truy cập vào vùng mạng quan trọng;

c) Có thiết bị có chức tường lửa chức phát phòng chống xâm nhập để kiểm soát kết nối, truy cập từ mạng không tin cậy vào hệ thống mạng tổ chức;

d) Có giải pháp kiểm sốt, phát ngăn chặn kịp thời kết nối, truy cập trái phép vào hệ thống mạng nội tổ chức có hệ thống thơng tin từ cấp độ trở lên;

đ) Có phương án cân tải phương án ứng phó cơng từ chối dịch vụ hệ thống thông tin từ cấp độ trở lên cung cấp dịch vụ mạng Internet

4 Thiết lập, cấu hình tính theo thiết kế trang thiết bị an ninh mạng; thực biện pháp, giải pháp để dị tìm phát kịp thời điểm yếu, lỗ hổng mặt kỹ thuật hệ thống mạng; thường xuyên kiểm tra, phát kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng

Điều 24 Trao đổi thông tin

Khi thực trao đổi thông tin với khách hàng bên thứ ba, tổ chức có trách nhiệm sau:

1 Ban hành quy định trao đổi thông tin tối thiểu gồm: loại thông tin trao đổi; quyền trách nhiệm cá nhân tiếp cận thông tin; phương tiện trao đổi thơng tin; biện pháp bảo đảm tính tồn vẹn, bảo mật truyền nhận, xử lý, lưu trữ thông tin; chế độ bảo quản thông tin

2 Khi trao đổi thông tin cá nhân, thông tin nội thơng tin bí mật với bên ngồi, tổ chức phải có văn thỏa thuận, xác định trách nhiệm nghĩa vụ bên tham gia việc sử dụng, bảo đảm an tồn thơng tin

3 Các thơng tin bí mật phải mã hóa áp dụng biện pháp bảo mật thông tin trước trao đổi Đối với hệ thống thông tin cấp độ 5, tổ chức phải sử dụng kết nối mạng an toàn thiết bị, phương tiện chuyên dụng để mã hố, giải mã thơng tin bí mật trao đổi thông tin

4 Thực biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi thông tin nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp

5 Thực biện pháp quản lý, giám sát kiểm soát chặt chẽ trang thông tin điện tử cung cấp thông tin, dịch vụ, giao dịch trực tuyến cho khách hàng

Điều 25 Quản lý hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến

1 Hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng phải tuân thủ tiêu chuẩn TCVN 11930:2017 (tiêu chuẩn Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn hệ thống thông tin theo cấp độ) yêu cầu sau:

a) Bảo đảm tính tồn vẹn liệu trao đổi với khách hàng giao dịch trực tuyến;

c) Đánh giá cấp độ rủi ro giao dịch trực tuyến theo đối tượng khách hàng, loại giao dịch, hạn mức giao dịch để cung cấp giải pháp xác thực giao dịch phù hợp theo quy định Ngân hàng Nhà nước;

d) Trang thông tin điện tử giao dịch trực tuyến phải áp dụng biện pháp chứng thực chống giả mạo ngăn chặn, chống sửa đổi trái phép

2 Hệ thống dịch vụ giao dịch trực tuyến phải áp dụng biện pháp để giám sát chặt chẽ phát hiện, cảnh báo về:

a) Giao dịch đáng ngờ dựa vào tiêu chí tối thiểu gồm: thời gian giao dịch, địa điểm giao dịch (vị trí địa lý, địa IP mạng), tần suất giao dịch, số tiền giao dịch, số lần xác thực sai quy định;

b) Hoạt động bất thường hệ thống;

c) Các công từ chối dịch vụ (DoS - Denial of Service attack), công từ chối dịch vụ phân tán (DdoS - Distributed Denial of Service attack)

3 Tổ chức hướng dẫn biện pháp bảo đảm an tồn thơng tin cảnh báo rủi ro cho khách hàng trước tham gia sử dụng dịch vụ giao dịch trực tuyến theo định kỳ

4 Khi cung cấp phần mềm ứng dụng giao dịch trực tuyến Internet, tổ chức phải áp dụng biện pháp bảo đảm tính tồn vẹn phần mềm

Điều 26 Giám sát ghi nhật ký hoạt động hệ thống thông tin

Tổ chức thực giám sát ghi nhật ký hoạt động hệ thống thông tin từ cấp độ trở lên sau:

1 Ghi lưu trữ nhật ký hoạt động hệ thống thông tin người sử dụng, lỗi phát sinh, cố an tồn thơng tin hệ thống hỗ trợ, tối thiểu bao gồm:

a) Thông tin kết nối mạng (firewall log); b) Thông tin đăng nhập;

c) Thơng tin thay đổi cấu hình;

d) Thơng tin truy cập liệu dịch vụ quan trọng (nếu có); đ) Thơng tin lỗi phát sinh q trình hoạt động; e) Thơng tin cảnh báo từ thiết bị;

g) Thông tin hiệu hoạt động thiết bị (đối với hệ thống thông tin từ cấp độ trở lên)

2 Dữ liệu nhật ký hệ thống thông tin cấp độ phải lưu trực tuyến tối thiểu tháng lưu tối thiểu tháng Dữ liệu nhật ký hệ thống thông tin từ cấp độ trở lên phải lưu trực tuyến tối thiểu tháng theo hình thức tập trung lưu tối thiểu năm

3 Có phương án giám sát, cảnh báo có thay đổi thơng tin bí mật lưu hệ thống lưu trữ/phương tiện lưu trữ hệ thống thông tin từ cấp độ trở lên

4 Bảo vệ chức ghi nhật ký thông tin nhật ký, chống giả mạo, thay đổi truy cập trái phép; bảo đảm người quản trị hệ thống người sử dụng xóa hay sửa đổi nhật ký hệ thống ghi lại hoạt động họ

Tổ chức xây dựng thực quy định phòng chống mã độc sau:

1 Xác định trách nhiệm cá nhân phận liên quan cơng tác phịng chống mã độc

2 Triển khai biện pháp, giải pháp phòng chống mã độc cho tồn hệ thống thơng tin tổ chức

3 Cập nhật thường xuyên mẫu mã độc phần mềm phòng chống mã độc mới: thiết lập cập nhật tự động theo lịch định kỳ hàng ngày

4 Kiểm tra, diệt mã độc vật mang tin trước sử dụng

5 Kiểm soát việc cài đặt phần mềm bảo đảm tuân thủ theo quy chế an tồn thơng tin tổ chức

6 Kiểm soát thư điện tử lạ, tệp tin đính kèm liên kết thư lạ Mục 5

QUẢN LÝ TRUY CẬP

Điều 28 Yêu cầu kiểm soát truy cập

1 Tổ chức quy định quản lý truy cập người sử dụng, nhóm người sử dụng, thiết bị, công cụ sử dụng để truy cập hệ thống thông tin bảo đảm đáp ứng yêu cầu nghiệp vụ u cầu an tồn thơng tin, bao gồm nội dung sau:

a) Đăng ký, cấp phát, gia hạn thu hồi quyền truy cập người sử dụng;

b) Mỗi tài khoản truy cập hệ thống phải gán cho người sử dụng nhất; trường hợp chia sẻ tài khoản dùng chung để truy cập hệ thống thơng tin phải phê duyệt cấp có thẩm quyền xác định trách nhiệm cá nhân thời điểm sử dụng;

c) Đối với tài khoản để ứng dụng, dịch vụ kết nối tự động, phải giao cho cá nhân quản lý giới hạn quyền truy cập theo mục đích sử dụng; cá nhân giao quản lý không phép sử dụng tài khoản cho mục đích khác;

d) Đối với hệ thống thông tin từ cấp độ trở lên hệ thống thơng tin có xử lý thông tin cá nhân khách hàng phải giới hạn kiểm soát truy cập sử dụng tài khoản có quyền quản trị: (i) Thiết lập chế kiểm sốt việc tạo tài khoản có quyền quản trị để bảo đảm không tài khoản sử dụng chưa cấp có thẩm quyền phê duyệt; (ii) Phải có biện pháp giám sát việc sử dụng tài khoản có quyền quản trị; (iii) Việc sử dụng tài khoản có quyền quản trị phải giới hạn khoảng thời gian đủ để thực công việc phải thu hồi sau kết thúc công việc; (iv) Việc kết nối quản trị hệ thống phải qua máy chủ trung gian hệ thống quản trị tập trung, không thực trực tiếp từ máy trạm người quản trị;

đ) Quản lý, cấp phát mã khóa bí mật truy cập hệ thống thơng tin; e) Rà sốt, kiểm tra, xét duyệt lại quyền truy cập người sử dụng;

g) Yêu cầu, điều kiện an tồn thơng tin thiết bị, công cụ sử dụng để truy cập

mật hợp lệ phải kiểm tra tự động thiết lập mã khóa bí mật;

b) Các mã khóa bí mật mặc định nhà sản xuất cài đặt sẵn trang thiết bị, phần mềm phải thay đổi trước đưa vào sử dụng;

c) Phần mềm quản lý mã khóa bí mật phải có chức năng: (i) u cầu thay đổi mã khóa bí mật lần đầu đăng nhập (khơng áp dụng với mã khóa bí mật sử dụng lần); (ii) Thông báo người sử dụng thay đổi mã khóa bí mật hết hạn sử dụng; (iii) Hủy hiệu lực mã khóa bí mật hết hạn sử dụng; (iv) Hủy hiệu lực mã khóa bí mật người sử dụng nhập sai số lần cho phép; (v) Cho phép thay đổi mã khóa bí mật bị lộ, có nguy bị lộ theo yêu cầu người sử dụng; (vi) Ngăn chặn việc sử dụng lại mã khóa bí mật cũ khoảng thời gian định

3 Tổ chức xây dựng quy định trách nhiệm người sử dụng cấp quyền truy cập bao gồm nội dung: sử dụng mã khóa bí mật quy định; giữ bí mật mã khóa bí mật; sử dụng thiết bị, cơng cụ để truy cập; khỏi hệ thống không làm việc tạm thời không làm việc hệ thống

Điều 29 Quản lý truy cập mạng nội bộ

Tổ chức xây dựng triển khai sách quản lý truy cập mạng nội đáp ứng yêu cầu sau:

1 Xây dựng triển khai quy định quản lý truy cập mạng dịch vụ mạng gồm nội dung sau:

a) Các mạng dịch vụ mạng phép sử dụng, cách thức, phương tiện điều kiện an tồn thơng tin để truy cập;

b) Trách nhiệm người quản trị, người truy cập; c) Thủ tục cấp phát, thay đổi, thu hồi quyền kết nối; d) Kiểm soát việc quản trị, truy cập, sử dụng mạng

2 Thực biện pháp kiểm soát chặt chẽ kết nối từ mạng không tin cậy vào mạng nội tổ chức bảo đảm an tồn thơng tin

3 Kiểm sốt việc cài đặt, sử dụng cơng cụ phần mềm hỗ trợ truy cập từ xa Kiểm soát truy cập cổng dùng để cấu hình quản trị thiết bị mạng

5 Cấp quyền truy cập mạng dịch vụ mạng phải bảo đảm nguyên tắc quyền vừa đủ để thực nhiệm vụ giao

6 Kết nối từ mạng Internet vào mạng nội tổ chức để phục vụ công việc phải sử dụng mạng riêng ảo xác thực đa yếu tố

Điều 30 Quản lý truy cập hệ thống thông tin ứng dụng

Tổ chức xây dựng triển khai việc quản lý truy cập đáp ứng yêu cầu sau:

1 Kiểm soát phần mềm tiện ích có khả ảnh hưởng đến hệ thống thông tin

2 Quy định thời gian truy cập vào ứng dụng tương ứng với thời gian hoạt động nghiệp vụ dịch vụ mà ứng dụng cung cấp Tự động ngắt phiên làm việc người sử dụng sau thời gian không sử dụng nhằm ngăn chặn truy cập trái phép

a) Phân quyền truy cập đến thư mục, chức chương trình; b) Phân quyền đọc, ghi, xóa, thực thi thơng tin, liệu, chương trình

4 Các hệ thống thông tin sử dụng chung nguồn tài nguyên phải cấp có thẩm quyền phê duyệt

5 Đối với máy chủ thuộc hệ thống thông tin từ cấp độ trở lên hệ thống thơng tin có xử lý thơng tin cá nhân khách hàng phải sử dụng giao thức kết nối an tồn có phương án chống đăng nhập tự động

6 Đối với hệ thống thông tin từ cấp độ trở lên phải áp dụng xác thực đa yếu tố truy cập quản trị máy chủ, ứng dụng thiết bị mạng, an ninh mạng quan trọng

Điều 31 Quản lý kết nối Internet

Tổ chức quy định triển khai việc quản lý kết nối Internet đáp ứng yêu cầu sau: Quy định quản lý kết nối, truy cập sử dụng Internet gồm nội dung sau: a) Trách nhiệm cá nhân phận có liên quan khai thác sử dụng Internet; b) Đối tượng phép truy cập, kết nối sử dụng Internet;

c) Các hành vi bị cấm, hạn chế;

d) Kiểm soát kết nối, truy cập sử dụng Internet;

đ) Các biện pháp bảo đảm an tồn thơng tin kết nối Internet

2 Thực quản lý tập trung, thống cổng kết nối Internet toàn tổ chức

3 Triển khai giải pháp an ninh mạng cổng kết nối Internet để bảo đảm an toàn trước hiểm họa công từ Internet vào mạng nội tổ chức

4 Sử dụng cơng cụ để dị tìm phát kịp thời điểm yếu, lỗ hổng công, truy cập bất hợp pháp vào hệ thống mạng nội tổ chức thông qua cổng kết nối Internet

Mục 6

QUẢN LÝ SỬ DỤNG DỊCH VỤ CÔNG NGHỆ THÔNG TIN CỦA BÊN THỨ BA

Điều 32 Các nguyên tắc chung sử dụng dịch vụ bên thứ ba

Khi sử dụng dịch vụ công nghệ thông tin bên thứ ba, tổ chức bảo đảm nguyên tắc sau đây:

1 Không làm suy giảm khả cung cấp dịch vụ liên tục tổ chức cho khách hàng

2 Không làm suy giảm việc kiểm sốt quy trình nghiệp vụ tổ chức

3 Không làm thay đổi trách nhiệm tổ chức việc bảo đảm an tồn thơng tin Dịch vụ công nghệ thông tin bên thứ ba phải đáp ứng quy định bảo đảm an tồn thơng tin tổ chức

Điều 33 Các yêu cầu sử dụng dịch vụ bên thứ ba

1 Đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động tối thiểu bao gồm nội dung sau:

a) Nhận diện rủi ro, phân tích, ước lượng cấp độ tổn hại, mối đe dọa đến an tồn thơng tin;

b) Khả kiểm sốt quy trình nghiệp vụ, khả cung cấp dịch vụ liên tục, khả thực nghĩa vụ cung cấp thông tin cho quan nhà nước;

c) Xác định rõ vai trò, trách nhiệm bên liên quan việc bảo đảm chất lượng dịch vụ;

d) Xây dựng biện pháp nhằm giảm thiểu rủi ro, biện pháp phòng ngừa, ứng cứu, khắc phục cố;

đ) Rà soát điều chỉnh sách quản lý rủi ro (nếu có)

2 Trong trường hợp sử dụng dịch vụ điện tốn đám mây, ngồi u cầu khoản Điều này, tổ chức thực hiện:

a) Phân loại hoạt động, nghiệp vụ dự kiến triển khai điện toán đám mây dựa đánh giá tác động hoạt động, nghiệp vụ với hoạt động tổ chức;

b) Xây dựng phương án dự phòng cấu phần hệ thống thông tin từ cấp độ trở lên Phương án dự phòng phải kiểm thử đánh giá sẵn sàng thay cho hoạt động, nghiệp vụ triển khai điện toán đám mây;

c) Xây dựng tiêu chí lựa chọn bên thứ ba đáp ứng yêu cầu quy định Điều 34 Thông tư này;

d) Rà soát, bổ sung, áp dụng biện pháp bảo đảm an tồn thơng tin tổ chức, giới hạn truy cập từ điện toán đám mây đến hệ thống thông tin tổ chức

3 Trường hợp th bên thứ ba thực tồn cơng việc quản trị hệ thống thông tin từ cấp độ trở lên hệ thống thông tin xử lý thông tin khách hàng, tổ chức thực đánh giá rủi ro theo quy định khoản Điều gửi báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước (Cục Công nghệ thông tin)

Điều 34 Tiêu chí lựa chọn bên thứ ba cung cấp dịch vụ điện tốn đám mây Tiêu chí lựa chọn bên thứ ba bao gồm nội dung tối thiểu sau:

1 Bên thứ ba phải doanh nghiệp

2 Có hạ tầng cơng nghệ thơng tin tương ứng với dịch vụ mà tổ chức sử dụng đáp ứng yêu cầu sau:

a) Các quy định pháp luật Việt Nam;

b) Có chứng nhận quốc tế cịn hiệu lực bảo đảm an tồn thông tin Điều 35 Hợp đồng sử dụng dịch vụ với bên thứ ba

Hợp đồng sử dụng dịch vụ ký kết với bên thứ ba triển khai cho hệ thống thông tin từ cấp độ trở lên hệ thống thơng tin có xử lý thơng tin cá nhân khách hàng phải có tối thiểu nội dung sau:

1 Cam kết bên thứ ba bảo đảm an tồn thơng tin bao gồm:

chức sử dụng dịch vụ trước cung cấp liệu, trừ việc thông báo vi phạm pháp luật Việt Nam;

b) Phổ biến cho nhân bên thứ ba tham gia thực hợp đồng quy định bảo đảm an tồn thơng tin tổ chức, thực biện pháp giám sát bảo đảm tuân thủ

2 Quy định cụ thể thời gian tối đa gián đoạn dịch vụ thời gian khắc phục cố, yêu cầu liên quan đến bảo đảm hoạt động liên tục (dự phòng chỗ, lưu liệu, dự phòng thảm họa), yêu cầu liên quan đến lực xử lý, tính tốn, lưu trữ, biện pháp thực chất lượng dịch vụ không bảo đảm

3 Trường hợp bên thứ ba sử dụng nhà thầu phụ không làm thay đổi trách nhiệm bên thứ ba dịch vụ mà tổ chức sử dụng

4 Dữ liệu phát sinh trình sử dụng dịch vụ tài sản tổ chức Khi chấm dứt sử dụng dịch vụ:

a) Bên thứ ba thực trả lại hỗ trợ chuyển toàn liệu triển khai liệu phát sinh trình sử dụng dịch vụ cho tổ chức;

b) Bên thứ ba cam kết hồn thành việc xóa tồn liệu tổ chức khoảng thời gian xác định

5 Bên thứ ba phải thông báo cho tổ chức phát nhân vi phạm quy định an tồn thơng tin dịch vụ mà tổ chức sử dụng

6 Hợp đồng sử dụng dịch vụ điện tốn đám mây, ngồi nội dung quy định khoản 1, 2, 3, 4, Điều này, phải bổ sung thêm nội dung sau:

a) Bên thứ ba phải cung cấp báo cáo kiểm tốn tn thủ cơng nghệ thơng tin tổ chức kiểm toán độc lập thực hàng năm thời gian thực hợp đồng;

b) Bên thứ ba phải cung cấp: cơng cụ kiểm sốt chất lượng dịch vụ đám mây; quy trình giám sát, kiểm soát chất lượng dịch vụ đám mây;

c) Bên thứ ba phải minh bạch vị trí (thành phố, quốc gia) đặt trung tâm liệu bên lãnh thổ Việt Nam triển khai dịch vụ cho tổ chức;

d) Trách nhiệm bảo vệ liệu, chống truy cập liệu trái phép kênh phân phối dịch vụ từ bên thứ ba đến tổ chức;

đ) Bên thứ ba phải hỗ trợ, hợp tác điều tra trường hợp có yêu cầu từ quan nhà nước có thẩm quyền Việt Nam theo quy định pháp luật;

e) Dữ liệu tổ chức phải tách biệt với liệu khách hàng khác sử dụng tảng kỹ thuật bên thứ ba cung cấp

Điều 36 Trách nhiệm tổ chức trình sử dụng dịch vụ bên thứ ba

Khi sử dụng dịch vụ bên thứ ba, tổ chức có trách nhiệm sau:

1 Cung cấp, thông báo yêu cầu bên thứ ba thực quy định an tồn thơng tin tổ chức

2 Có quy trình bố trí nguồn lực để giám sát, kiểm soát dịch vụ bên thứ ba cung cấp bảo đảm chất lượng dịch vụ theo thỏa thuận ký kết Đối với dịch vụ điện toán đám mây, phải giám sát, kiểm soát chất lượng dịch vụ

4 Quản lý thay đổi dịch vụ bên thứ ba cung cấp bao gồm: thay đổi nhà cung cấp, thay đổi giải pháp, thay đổi phiên bản, thay đổi nội dung quy định Điều 41 Thông tư này; đánh giá đầy đủ tác động việc thay đổi, bảo đảm an toàn đưa vào sử dụng

5 Áp dụng biện pháp giám sát chặt chẽ giới hạn quyền truy cập bên thứ ba cho phép bên thứ ba truy cập vào hệ thống thông tin tổ chức

6 Giám sát nhân bên thứ ba trình thực hợp đồng Trường hợp phát nhân bên thứ ba vi phạm quy định an tồn thơng tin phải thông báo phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời

7 Thu hồi quyền truy cập hệ thống thông tin cấp cho bên thứ ba, thay đổi khóa, mã khóa bí mật nhận bàn giao từ bên thứ ba sau hồn thành cơng việc kết thúc hợp đồng

8 Đối với hệ thống thông tin từ cấp độ trở lên, hệ thống thông tin xử lý thông tin khách hàng hệ thống thơng tin sử dụng dịch vụ điện tốn đám mây, phải đánh giá tuân thủ quy định bảo đảm an tồn thơng tin bên thứ ba theo thỏa thuận ký kết Thực đánh giá tuân thủ định kỳ hàng năm đột xuất có nhu cầu Việc đánh giá tuân thủ sử dụng kết kiểm tốn cơng nghệ thơng tin tổ chức kiểm tốn độc lập

Mục 7

QUẢN LÝ TIẾP NHẬN, PHÁT TRIỂN, DUY TRÌ HỆ THỐNG THƠNG TIN

Điều 37 u cầu an tồn, bảo mật hệ thống thơng tin

Khi xây dựng nâng cấp hệ thống thông tin tổ chức quản lý trực tiếp, tổ chức phải thực phân loại hệ thống thông tin theo cấp độ quy định Điều Thông tư Đối với hệ thống thông tin từ cấp độ trở lên, tổ chức thực hiện:

1 Xây dựng tài liệu thiết kế, mô tả phương án bảo đảm an tồn hệ thống thơng tin Trong u cầu an tồn, bảo mật xây dựng đồng thời với việc xây dựng yêu cầu kỹ thuật, nghiệp vụ

2 Xây dựng phương án kiểm tra, xác minh hệ thống triển khai tuân thủ theo tài liệu thiết kế u cầu bảo đảm an tồn thơng tin trước nghiệm thu Kết kiểm tra phải lập thành báo cáo cấp có thẩm quyền phê duyệt trước đưa vào vận hành thức

3 Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngồi theo quy định Điều 36 Thơng tư

Điều 38 Bảo đảm an toàn, bảo mật ứng dụng

Các chương trình ứng dụng nghiệp vụ phải đáp ứng yêu cầu tối thiểu sau:

1 Kiểm tra tính hợp lệ liệu nhập vào ứng dụng, bảo đảm liệu nhập vào xác hợp lệ

2 Kiểm tra tính hợp lệ liệu cần xử lý tự động ứng dụng nhằm phát thông tin sai lệch lỗi trình xử lý hành vi sửa đổi thơng tin có chủ ý

4 Kiểm tra tính hợp lệ liệu xuất từ ứng dụng, bảo đảm q trình xử lý thơng tin ứng dụng xác hợp lệ

5 Mã khóa bí mật người sử dụng hệ thống thông tin từ cấp độ trở lên phải mã hóa lớp ứng dụng

Điều 39 Quản lý mã hóa Tổ chức quản lý mã hóa sau:

1 Quy định đưa vào sử dụng biện pháp mã hóa theo quy chuẩn kỹ thuật quốc gia mã hóa liệu sử dụng lĩnh vực ngân hàng tiêu chuẩn quốc tế cơng nhận

2 Có biện pháp quản lý khóa mã hóa để bảo vệ thơng tin tổ chức Điều 40 An toàn, bảo mật trình phát triển phần mềm Tổ chức thực quản lý trình phát triển phần mềm sau:

a) Quản lý, kiểm soát mã nguồn Việc truy cập, tiếp cận mã nguồn phải phê duyệt cấp có thẩm quyền;

b) Quản lý, bảo vệ tệp tin cấu hình hệ thống;

c) Yêu cầu bên thứ ba cung cấp mã nguồn phần mềm phần mềm thuê gia công (outsourced software) hệ thống thông tin từ cấp độ trở lên

2 Tổ chức phải lựa chọn, kiểm soát liệu kiểm tra, thử nghiệm Không sử dụng liệu thật hệ thống thơng tin vận hành thức cho hoạt động kiểm thử chưa thực biện pháp che giấu thay đổi liệu chứa thông tin khách hàng thơng tin bí mật

Điều 41 Quản lý thay đổi hệ thống thông tin

Tổ chức ban hành quy trình, biện pháp quản lý kiểm sốt thay đổi hệ thống thơng tin, tối thiểu bao gồm:

1 Thực ghi chép lại thay đổi; lập kế hoạch thay đổi; thực kiểm tra, thử nghiệm thay đổi, báo cáo kết quả; phê duyệt kế hoạch thay đổi trước áp dụng thức thay đổi phiên phần mềm, cấu hình phần cứng, tham số phần mềm hệ thống, quy trình vận hành Có phương án dự phịng cho việc phục hồi hệ thống trường hợp thực thay đổi không thành công gặp cố khơng có khả dự tính trước

2 Kiểm tra, đánh giá tác động để bảo đảm hệ thống thơng tin hoạt động ổn định, an tồn môi trường hệ thống thông tin từ cấp độ trở lên thay đổi phiên thay đổi hệ điều hành, hệ quản trị sở liệu, phần mềm lớp

Điều 42 Kiểm tra, đánh giá an tồn thơng tin

1 Nội dung kiểm tra, đánh giá an tồn thơng tin tối thiểu phải bao gồm nội dung sau:

a) Kiểm tra việc tuân thủ quy định pháp luật bảo đảm an tồn hệ thống thơng tin theo cấp độ;

b) Đánh giá hiệu biện pháp bảo đảm an tồn hệ thống thơng tin;

c) Đánh giá, phát mã độc, lỗ hổng, điểm yếu mặt kỹ thuật theo quy định Điều 43 Thông tư này;

hiện hệ thống thơng tin có kết nối cung cấp thông tin, dịch vụ Internet, kết nối với khách hàng bên thứ ba;

đ) Kiểm tra cấu hình thiết bị bảo mật, hệ thống cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối, danh sách tài khoản

2 Tổ chức thực kiểm tra, đánh giá an tồn thơng tin hệ thống thơng tin từ cấp độ trở lên hệ thống thơng tin có xử lý thơng tin cá nhân khách hàng theo nội dung quy định khoản Điều trước đưa vào vận hành thức

3 Trong trình vận hành hệ thống thông tin, tổ chức thực kiểm tra, đánh giá an tồn thơng tin theo quy định khoản Điều định kỳ tối thiểu sau:

a) Sáu tháng lần hệ thống thông tin cấp độ 5;

b) Một năm lần hệ thống thông tin cấp độ 4, cấp độ trang thiết bị giao tiếp trực tiếp với mơi trường bên ngồi Internet, kết nối với bên thứ ba;

c) Hai năm lần thực kiểm tra, đánh giá an tồn thơng tin quản lý rủi ro an tồn thơng tin tổng thể hoạt động tổ chức

4 Kết đánh giá phải lập thành văn báo cáo người đại diện hợp pháp cấp có thẩm quyền Đối với nội dung chưa tuân thủ quy định an tồn thơng tin (nếu có) phải đề xuất biện pháp, kế hoạch, thời hạn xử lý, khắc phục

Điều 43 Quản lý điểm yếu mặt kỹ thuật Tổ chức quản lý điểm yếu mặt kỹ thuật sau:

1 Xây dựng quy định việc đánh giá, quản lý kiểm soát điểm yếu mặt kỹ thuật hệ thống thông tin sử dụng

2 Thường xuyên cập nhật thông tin liên quan đến lỗ hổng, điểm yếu mặt kỹ thuật Thực dò quét lỗ hổng, điểm yếu hệ thống thông tin định kỳ theo quy định khoản Điều 42 tiếp nhận thông tin liên quan đến lỗ hổng, điểm yếu

4 Đánh giá cấp độ tác động, rủi ro lỗ hổng, điểm yếu mặt kỹ thuật phát hệ thống thông tin sử dụng đưa phương án, kế hoạch xử lý

5 Xây dựng, tổ chức triển khai giải pháp xử lý, khắc phục báo cáo kết xử lý

Điều 44 Quản lý bảo trì hệ thống thơng tin Tổ chức quản lý bảo trì hệ thống thơng tin sau:

1 Ban hành quy định bảo trì hệ thống thông tin sau đưa vào hoạt động thức Quy định bảo trì tối thiểu bao gồm nội dung sau:

a) Phạm vi, đối tượng bảo trì; b) Thời điểm, tần suất bảo trì;

c) Quy trình, kịch kỹ thuật để thực bảo trì cấu phần tồn hệ thống thơng tin;

d) Khi thực bảo trì phát hiện, phát sinh cố phải báo cáo cấp có thẩm quyền để xử lý;

2 Thực bảo trì theo quy định khoản Điều hệ thống thông tin tổ chức quản lý trực tiếp

3 Rà sốt quy định bảo trì tối thiểu năm lần hệ thống thông tin có thay đổi

Mục 8

QUẢN LÝ SỰ CỐ AN TỒN THƠNG TIN

Điều 45 Quy trình xử lý cố Tổ chức quản lý cố sau:

1 Ban hành quy trình xử lý cố an tồn thơng tin bao gồm nội dung tối thiểu sau:

a) Tiếp nhận thông tin cố phát sinh;

b) Đánh giá cấp độ, phạm vi ảnh hưởng cố đến hoạt động hệ thống thông tin Tùy theo cấp độ, phạm vi ảnh hưởng cố phải báo cáo đến cấp quản lý tương ứng để đạo xử lý;

c) Thực biện pháp xử lý, khắc phục cố; d) Ghi nhận hồ sơ báo cáo kết xử lý cố

2 Quy định trách nhiệm cá nhân, tập thể việc báo cáo, tiếp nhận, xử lý cố an tồn thơng tin

3 Xây dựng mẫu biểu để ghi nhận, lưu trữ hồ sơ xử lý cố Điều 46 Kiểm soát khắc phục cố

Tổ chức kiểm soát khắc phục cố sau:

1 Lập danh sách cố an tồn thơng tin phương án xử lý cố hệ thống thông tin từ cấp độ trở lên hệ thống thơng tin có xử lý thơng tin cá nhân khách hàng; tối thiểu tháng lần thực rà soát, cập nhật danh sách, phương án ứng cứu cố

2 Báo cáo đến cấp có thẩm quyền người có liên quan phát sinh cố an tồn thơng tin để có biện pháp khắc phục thời gian sớm

3 Trong trình kiểm tra, xử lý, khắc phục cố thu thập, ghi chép, bảo vệ chứng lưu trữ tổ chức

4 Đánh giá xác định nguyên nhân thực biện pháp phòng ngừa tránh cố tái diễn sau khắc phục cố

5 Trong trường hợp cố an tồn thơng tin có liên quan đến vi phạm pháp luật, tổ chức có trách nhiệm thu thập cung cấp chứng cho quan có thẩm quyền theo quy định pháp luật

6 Định kỳ hàng năm tổ chức diễn tập phương án xử lý cố bảo đảm an tồn thơng tin cho tối thiểu hệ thống thông tin từ cấp độ trở lên thực luân phiên có từ 02 hệ thống thơng tin từ cấp độ trở lên

Điều 47 Trung tâm Điều hành an ninh mạng

(không áp dụng với chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian toán, tổ chức tín dụng phi ngân hàng, tổ chức tài vi mơ, quỹ tín dụng nhân dân sở, cơng ty thơng tin tín dụng, Cơng ty Quản lý tài sản tổ chức tín dụng Việt Nam, Nhà máy in tiền quốc gia)

2 Trung tâm Điều hành an ninh mạng thực nhiệm vụ sau:

a) Chủ động theo dõi, thu thập, tiếp nhận thông tin, cảnh báo nguy Cơ, rủi ro an tồn thơng tin từ bên bên ngồi

b) Xây dựng hệ thống quản lý phân tích kiện an tồn thơng tin (SIEM), thực thu thập lưu trữ tập trung tối thiểu thông tin: nhật ký hệ thống thông tin từ cấp độ trở lên hệ thống thơng tin có xử lý thơng tin cá nhân khách hàng; cảnh báo, nhật ký trang thiết bị an ninh mạng (tường lửa, IPS/IDS)

c) Phân tích thông tin để phát cảnh báo rủi ro nguy công mạng, cố an tồn thơng tin phải gửi cảnh báo đến người quản trị hệ thống phát cố liên quan đến hệ thống thông tin từ cấp độ trở lên hệ thống thông tin có xử lý thơng tin cá nhân khách hàng

d) Tổ chức điều phối ứng cứu cố khoanh vùng, ngăn chặn, giảm thiểu tác động, thiệt hại đến hệ thống thông tin cố phát sinh

đ) Điều tra, xác định nguồn gốc, cách thức, phương pháp công thực biện pháp phòng ngừa tránh cố tái diễn

e) Cung cấp thông tin theo yêu cầu Ngân hàng Nhà nước để phục vụ giám sát an ninh mạng ngành Ngân hàng

Điều 48 Hoạt động ứng cứu cố an tồn thơng tin

1 Mạng lưới ứng cứu cố an tồn thơng tin ngành Ngân hàng (mạng lưới) bao gồm:

a) Ban điều hành mạng lưới Thống đốc Ngân hàng Nhà nước thành lập; b) Cơ quan điều phối Cục Công nghệ thông tin (Ngân hàng Nhà nước);

c) Các thành viên mạng lưới: Cục Công nghệ thông tin (Ngân hàng Nhà nước), tổ chức tín dụng (bộ phận chun trách an tồn thơng tin) thành viên tự nguyện tham gia mạng lưới quan, tổ chức tự nguyện tham gia

2 Mạng lưới có nhiệm vụ phối hợp nguồn lực ngành ứng phó hiệu cố an tồn thơng tin, góp phần bảo đảm hệ thống ngân hàng hoạt động an toàn

3 Nguyên tắc hoạt động điều phối ứng cứu cố

a) Ban điều hành mạng lưới có nhiệm vụ: (i) Phê duyệt chiến lược kế hoạch hoạt động hàng năm mạng lưới; (ii) Điều hành hoạt động mạng lưới (ứng cứu cố, diễn tập đào tạo, tập huấn ứng cứu cố); (iii) Đánh giá kết hoạt động mạng lưới, báo cáo Thống đốc Ngân hàng Nhà nước hàng năm;

b) Các tổ chức theo quy định điểm c khoản Điều phải có trách nhiệm cung cấp nguồn lực tham gia làm thành viên mạng lưới;

c) Khi gặp cố an tồn thơng tin, thành viên phải báo cáo Cơ quan điều phối theo quy định khoản Điều 54 Thông tư này;

đ) Căn vào cố, Cơ quan điều phối báo cáo Ban điều hành mạng lưới đề nghị thành viên mạng lưới hỗ trợ quan nhà nước có thẩm quyền hỗ trợ, ứng cứu

4 Nguyên tắc quản lý, sử dụng thông tin hoạt động điều phối ứng cứu cố: a) Thông tin trao đổi, cung cấp trình điều phối ứng cứu cố thơng tin bí mật;

b) Nghiêm cấm tổ chức, cá nhân sử dụng thông tin trao đổi trình điều phối ứng cứu cố để làm ảnh hưởng đến uy tín, hình ảnh tổ chức cung cấp thông tin

Mục 9

BẢO ĐẢM HOẠT ĐỘNG LIÊN TỤC CỦA HỆ THỐNG THÔNG TIN

Điều 49 Nguyên tắc bảo đảm hoạt động liên tục Tổ chức thực yêu cầu tối thiểu sau:

a) Phân tích tác động đánh giá rủi ro việc gián đoạn ngừng hoạt động hệ thống thông tin;

b) Xây dựng quy trình kịch bảo đảm hoạt động liên tục hệ thống thông tin theo quy định Điều 51 Thông tư này;

c) Tổ chức triển khai bảo đảm hoạt động liên tục theo quy định Điều 52 Thông tư

2 Trên sở phân tích tác động đánh giá rủi ro điểm a khoản Điều này, tổ chức lập danh sách hệ thống thông tin cần bảo đảm hoạt động liên tục tối thiểu bao gồm hệ thống thông tin từ cấp độ trở lên

3 Các hệ thống cần bảo đảm hoạt động liên tục khoản Điều phải bảo đảm tính sẵn sàng cao có hệ thống dự phịng thảm họa

Điều 50 Xây dựng hệ thống dự phòng thảm họa

1 Tổ chức xây dựng hệ thống dự phòng thảm họa đáp ứng yêu cầu sau:

a) Đánh giá rủi ro xem xét khả xảy thảm họa ảnh hưởng đồng thời tới hệ thống thơng tin hệ thống thơng tin dự phịng thảm họa lựa chọn địa điểm đặt hệ thống dự phòng thảm họa: thảm họa tự nhiên động đất, lũ lụt, bão, đại dịch; thảm họa yếu tố người công nghệ cố mạng lưới điện, hỏa hoạn, giao thông, công an ninh mạng;

b) Địa điểm đặt hệ thống dự phòng phải đáp ứng yêu cầu quy định Điều 17 Thông tư này;

c) Hệ thống dự phòng phải bảo đảm khả thay hệ thống khoảng thời gian: (i) hệ thống thông tin từ cấp độ trở lên (ngoại trừ hệ thống thơng tin xử lý thơng tin bí mật nhà nước); (ii) 24 hệ thống thông tin xử lý thơng tin bí mật nhà nước; (iii) Theo thời gian quy định tổ chức hệ thống khác

2 Các tổ chức có trụ sở làm việc Việt Nam (trừ tổ chức tài vi mơ, quỹ tín dụng nhân dân sở) phải có văn phịng dự phịng địa điểm khác tách biệt trụ sở làm việc có trang thiết bị để bảo đảm hoạt động liên tục thay trụ sở làm việc

Tổ chức xây dựng quy trình, kịch bảo đảm hoạt động liên tục sau:

1 Xây dựng quy trình xử lý tình an toàn, gián đoạn hoạt động cấu phần hệ thống thông tin từ cấp độ trở lên

2 Đối với tổ chức có hệ thống thơng tin dự phịng đặt ngồi lãnh thổ Việt Nam phải xây dựng phương án bảo đảm hoạt động liên tục trường hợp bị gián đoạn đường truyền kết nối với hệ thống thông tin dự phịng

3 Xây dựng kịch chuyển đổi hệ thống dự phòng thay cho hoạt động hệ thống chính, bao gồm nội dung cơng việc, trình tự thực hiện, dự kiến thời gian hoàn thành đáp ứng nội dung sau:

a) Có nguồn lực, phương tiện yêu cầu cần thiết để thực hiện; b) Có mẫu biểu ghi nhận kết quả;

c) Bố trí phân công trách nhiệm cho nhân tham gia với vai trò: đạo thực hiện, giám sát, thực chuyển đổi, vận hành thức kiểm tra kết quả;

d) Áp dụng biện pháp bảo đảm an tồn thơng tin;

đ) Có phương án bảo đảm hoạt động liên tục việc chuyển đổi không thành cơng Các tổ chức có trụ sở làm việc Việt Nam (trừ tổ chức tài vi mơ, quỹ tín dụng nhân dân sở) phải xây dựng kịch chuyển đổi hoạt động sang văn phịng dự phịng

5 Quy trình, kịch chuyển đổi phải kiểm tra cập nhật có thay đổi hệ thống thông tin, cấu tổ chức, nhân phân công trách nhiệm phận có liên quan tổ chức

Điều 52 Tổ chức triển khai bảo đảm hoạt động liên tục

1 Tổ chức phải có kế hoạch tổ chức triển khai bảo đảm hoạt động liên tục hệ thống thông tin (ngoại trừ hệ thống thơng tin dự phịng hoạt động song song) theo yêu cầu sau:

a) Tối thiểu sáu tháng lần, tiến hành kiểm tra, đánh giá hoạt động hệ thống dự phòng;

b) Thực chuyển hoạt động từ hệ thống sang hệ thống dự phịng hoạt động thức hệ thống dự phòng tối thiểu ngày làm việc hệ thống thông tin theo danh sách khoản Điều 49 Thông tư này, năm lần hệ thống thông tin từ cấp độ trở lên, hai năm lần hệ thống thông tin từ cấp độ trở xuống; đánh giá kết cập nhật quy trình, kịch chuyển đổi (nếu có) Trường hợp khơng thể chuyển đổi hoạt động ngày làm việc, hệ thống dự phòng phải thiết lập có cơng suất, cấu hình với hệ thống định kỳ hàng năm thực chuyển đổi, kiểm tra tính sẵn sàng hệ thống dự phịng

2 Các tổ chức có trụ sở làm việc Việt Nam (trừ tổ chức tài vi mơ, quỹ tín dụng nhân dân sở) phải tổ chức thực diễn tập bảo đảm hoạt động liên tục định kỳ hàng năm

3 Tổ chức phải thông báo kế hoạch, nội dung kịch diễn tập chuyển đổi hoạt động liên tục cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) chậm ngày làm việc trước thực qua địa thư điện tử info@123doc.org

KIỂM TRA NỘI BỘ VÀ CHẾ ĐỘ BÁO CÁO

Điều 53 Kiểm tra nội bộ

Tổ chức thực kiểm tra nội sau:

1 Xây dựng quy định kiểm tra nội cơng tác bảo đảm an tồn thơng tin tổ chức

2 Hàng năm, xây dựng kế hoạch thực công tác tự kiểm tra việc tuân thủ quy định Thông tư quy định nội tổ chức bảo đảm an tồn thơng tin Đối với ngân hàng thương mại, chi nhánh ngân hàng nước ngoài, việc kiểm tra nội phận quản lý rủi ro phận tuân thủ thực tối thiểu năm lần phận kiểm toán nội tổ chức kiểm toán độc lập thực tối thiểu ba năm lần

3 Kết kiểm tra cơng tác bảo đảm an tồn thơng tin tổ chức phải lập thành báo cáo gửi người đại diện theo pháp luật cấp có thẩm quyền, vấn đề cịn tồn chưa bảo đảm tn thủ quy định an tồn thơng tin (nếu có) phải có phương án xử lý, kế hoạch thực

4 Tổ chức thực báo cáo kết khắc phục tồn nêu báo cáo theo quy định khoản Điều

Điều 54 Chế độ báo cáo

Tổ chức có trách nhiệm gửi báo cáo Ngân hàng Nhà nước (Cục Công nghệ thông tin) nội dung sau:

1 Báo cáo cố an tồn thơng tin (theo Phụ lục 01 kèm theo Thông tư này) vòng 24 kể từ thời điểm cố phát Báo cáo hoàn thành khắc phục cố (theo Phụ lục 02 kèm theo Thông tư này) vịng 05 ngày làm việc sau hồn thành khắc phục cố Báo cáo gửi địa thư điện tử info@123doc.org

2 Báo cáo đánh giá rủi ro theo quy định khoản Điều 33 Thông tư gửi trực tiếp qua đường bưu điện Ngân hàng Nhà nước (Cục Công nghệ thơng tin) th ngồi tồn cơng việc quản trị hệ thống thông tin từ cấp độ trở lên hệ thống thông tin xử lý thông tin khách hàng trước thời điểm triển khai tối thiểu 10 ngày làm việc

3 Báo cáo trường hợp cá nhân làm việc lĩnh vực công nghệ thông tin tổ chức bị kỷ luật theo quy định khoản Điều 16 Thông tư gửi trực tiếp qua đường bưu điện Ngân hàng Nhà nước (Cục Cơng nghệ thơng tin) vịng ngày làm việc kể từ thời điểm có định kỷ luật

Chương III

ĐIỀU KHOẢN THI HÀNH

Điều 55 Trách nhiệm đơn vị thuộc Ngân hàng Nhà nước Cục Công nghệ thông tin có trách nhiệm:

a) Theo dõi, tổng hợp báo cáo Thống đốc Ngân hàng Nhà nước hàng năm tình hình thực tổ chức theo quy định Thông tư này;

b) Hàng năm lập kế hoạch kiểm tra việc thực Thông tư này;

c) Chủ trì, phối hợp với đơn vị liên quan thuộc Ngân hàng Nhà nước xử lý vướng mắc phát sinh trình triển khai thực Thông tư

thực Thông tư tổ chức cung ứng dịch vụ trung gian toán

3 Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm tra việc thực Thông tư tổ chức xử lý vi phạm hành hành vi vi phạm Thông tư theo quy định pháp luật

4 Ngân hàng Nhà nước chi nhánh tỉnh, thành phố có trách nhiệm tra việc thực Thông tư tổ chức địa bàn xử lý vi phạm hành hành vi vi phạm Thông tư theo quy định pháp luật

Điều 56 Hiệu lực thi hành

1 Thơng tư có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2021 trừ trường hợp quy định khoản Điều thay Thông tư 18/2018/TT-NHNN ngày 21 tháng 08 năm 2018 Thống đốc Ngân hàng Nhà nước ban hành Quy định an tồn hệ thống thơng tin hoạt động ngân hàng

2 Điểm b khoản Điều 20 có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2022 Điều 57 Tổ chức thực hiện

Cục trưởng Cục Công nghệ thông tin, Thủ trưởng đơn vị liên quan thuộc Ngân hàng Nhà nước, Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương, tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian tốn, cơng ty thơng tin tín dụng, Cơng ty cổ phần Thanh tốn Quốc gia Việt Nam, Công ty Quản lý tài sản tổ chức tín dụng Việt Nam, Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam có trách nhiệm tổ chức thực Thông tư này./

Nơi nhận: - Như Điều 57;

- Ban Lãnh đạo NHNN; - Văn phịng Chính phủ; - Bộ Tư pháp (để kiểm tra); - Công báo;

- Lưu VP, PC, CNTT

KT THỐNG ĐỐC PHÓ THỐNG ĐỐC

Phụ lục 01

(Ban hành kèm theo Thông tư số 09/2020/TT-NHNN ngày 21 tháng 10 năm 2020)

TÊN TỔ CHỨC _ Số: /

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc

…, ngày… tháng …năm….

BÁO CÁO SỰ CỐ AN TỒN THƠNG TIN Kính gửi: Cục Cơng nghệ thơng tin - Ngân hàng Nhà nước I THƠNG TIN ĐẦU MỐI LIÊN HỆ

▪ Họ tên: Chức vụ: ▪ Đơn vị công tác: ▪ Địa chỉ: ▪ Điện thoại: Email: II NỘI DUNG BÁO CÁO

1 Hệ thống thông tin gặp cố: 2 Mức độ quan trọng hệ thống thông tin gặp cố: 3 Thời điểm phát cố: phút ngày / /

4 Mức độ ảnh hưởng ban đầu cố:

- Hệ thống cung cấp dịch vụ cho khách hàng bị tác động □ + Ảnh hưởng đến toàn khách hàng □

+ Ảnh hưởng đến số khách hàng □ …/… <Số lượng khách hàng bị ảnh hưởng/Tổng khách hàng Hệ thống thông tin>

- Hệ thống thông tin nội đơn vị bị tác động □ + Ảnh hưởng đến toàn đơn vị □

+ Ảnh hưởng đến số phận □

- Các hệ thống thông tin liên quan bị ảnh hưởng: - Mô tả chi tiết:

……… ……… 5 Loại cố (theo đánh giá ban đầu)

□ Tấn công từ chối dịch vụ (DoS/DDoS) □ Virus/Worm/Trojan/Malware □ Xâm nhập/Tấn công/Truy cập trái phép □ Thay đổi giao diện web

□ Sử dụng/khai thác hệ thống không phù hợp □ Tấn công Zero day/APT □ Tấn công Phishing/Social engineering

……… ………

6 Sự cố báo cáo với VNCERT / quan thực thi pháp luật nào chưa (cung cấp rõ tên quan thực thi pháp luật đơn vị báo cáo):

……… III KIẾN NGHỊ, ĐỀ XUẤT

……… ……… ………

Phụ lục 02

(Ban hành kèm theo Thông tư số 09/2020/TT-NHNN ngày 21 tháng 10 năm 2020)

TÊN TỔ CHỨC Số: /….

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc

_

…., ngày… tháng… năm…

BÁO CÁO HOÀN THÀNH KHẮC PHỤC SỰ CỐ Kính gửi: Cục Cơng nghệ thơng tin - Ngân hàng Nhà nước I THÔNG TIN ĐẦU MỐI LIÊN HỆ

▪ Họ tên: Chức vụ:

▪ Đơn vị công tác:

▪ Địa chỉ:

▪ Điện thoại: Email:

II NỘI DUNG BÁO CÁO

1 Báo cáo cập nhật cố (điền đầy đủ thông tin bên dưới) □

+ Số văn báo cáo (trước đó) cố:

+ Ngày báo cáo (trước đó):

2 Mức độ ảnh hưởng cố:

- Hệ thống cung cấp dịch vụ cho khách hàng bị tác động □ + Ảnh hưởng đến toàn khách hàng □

+ Ảnh hưởng đến số khách hàng □ …/… <Số lượng khách hàng bị ảnh hưởng/Tổng khách hàng Hệ thống thông tin>.

- Hệ thống thông tin nội đơn vị bị tác động □ + Ảnh hưởng đến toàn đơn vị □

+ Ảnh hưởng đến số phận □

- Các hệ thống thông tin liên quan bị ảnh hưởng:

- Mô tả chi tiết:

……… ………

□ Khơng □ Có

- Cung cấp thông tin cụ thể cố trước đó: ………

………

- Văn báo cáo liên quan đến cố báo cáo trước đó: 4 Loại cố

□ Tấn cơng từ chối dịch vụ (DoS/DDoS) □ Virus/Worm/Trojan/Malware □ Xâm nhập/Tấn công/Truy cập trái phép □ Thay đổi giao diện web □ Sử dụng/khai thác hệ thống không phù hợp □ Tấn công Zero day/APT □ Tấn công Phishing/Social engineering

□ Những cố khác (mô tả rõ):

……… ……… 5 Thông tin hệ thống gặp cố:

- Hệ điều hành Version: - Các dịch vụ có hệ thống (Đánh dấu dịch vụ sử dụng hệ thống) □ Web server □ Mail server □ Database server

□ Dịch vụ khác, - Cổng UDP TCP liên quan đến cố □

- Địa IP Public hệ thống bị ảnh hưởng □ :

- Địa IP công □ :

6 Các biện pháp an tồn thơng tin triển khai (trước hệ thống gặp cố): □ Antivirus □ Firewall □ Hệ thống phát xâm nhập □ Khác:

7 Sự cố báo cáo với VNCERT / quan thực thi pháp luật nào chưa (cung cấp rõ tên quan thực thi pháp luật đơn vị báo cáo):

………

8 Các hoạt động bảo lưu chứng có triển khai: ………

9 Các hoạt động ngăn ngừa, lập cố có triển khai: ………

(Cung cấp thông tin chi tiết cố: tóm tắt nguyên nhân; biện pháp thực để ngăn chặn, khắc phục phòng ngừa; thiệt hại liên quan đến cố)

III KIẾN NGHỊ, ĐỀ XUẤT

……… ………