ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA TRẦN ĐỨC TÙNG QUẢN LÝ AN NINH THÔNG TIN TRONG NGÂN HÀNG ĐIỆN TỬ Chuyên ngành: Hệ Thống Thông Tin Quản Lý LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, tháng năm 2011 CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH Cán hướng dẫn khoa học: TS Nguyễn Đức Thái Cán chấm nhận xét 1: TS Huỳnh Tường Nguyên Cán chấm nhận xét 2: TS Nguyễn Thanh Hùng Luận văn thạc sĩ bảo vệ Trường Đại học Bách Khoa, ĐHQG Tp HCM ngày tháng năm 2011 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: (Ghi rõ họ, tên, học hàm, học vị Hội đồng chấm bảo vệ luận văn thạc sĩ) TS Nguyễn Văn Minh Mẫn (CT) TS Huỳnh Tường Nguyên (PB1) TS Nguyễn Thanh Hùng (PB2) TS Nguyễn Chánh Thành (TK) TS Nguyễn Đức Thái (UV) Xác nhận Chủ tịch Hội đồng đánh giá LV Bộ môn quản lý chuyên ngành sau luận văn sửa chữa (nếu có) Chủ tịch Hội đồng đánh giá LV Nguyễn Văn Minh Mẫn Bộ môn quản lý chuyên ngành Đặng Trần Khánh TRƯỜNG ĐHBK TP.HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM PHÒNG ĐÀO TẠO SĐH Độc lập – Tự – Hạnh phúc Tp HCM ngày tháng năm 2011 NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: TRẦN ĐỨC TÙNG Phái: Nam Ngày tháng năm sinh: 20/01/1978 Nơi sinh: TP HCM Chuyên ngành: Hệ Thống Thông Tin Quản Lý MSHV: 09320854 I – TÊN ĐỀ TÀI: QUẢN LÝ AN NINH THÔNG TIN TRONG NGÂN HÀNG ĐIỆN TỬ II – NHIỆM VỤ VÀ NỘI DUNG:  Khảo sát mức độ áp dụng biện pháp an ninh theo chuẩn ISO27001 ngân hàng cho dich vụ ngân hàng điện tử  Xác định mười (10) biện pháp quản lý an ninh thông tin mà ngân hàng nước áp dụng III- NGÀY GIAO NHIỆM VỤ (Ngày bắt đầu thực LV ghi QĐ giao đề tài): 02/02/2011 IV- NGÀY HOÀN THÀNH NHIỆM VỤ: 30/06/2011 V- CÁN BỘ HƯỚNG DẪN: TS Nguyễn Đức Thái CÁN BỘ HƯỚNG DẪN TS Nguyễn Đức Thái CN BỘ MÔN QL CHUYÊN NGÀNH I LỜI CẢM ƠN Trước tiên, xin chân thành cảm ơn thầy TS Nguyễn Đức Thái tận tình hướng dẫn, truyền đạt kiến thức, kinh nghiệm cho tơi suốt q trình thực luận văn tốt nghiệp Xin cảm ơn anh Nguyễn Duy Thanh bạn bè, đồng nghiệp động viên giúp hoàn thành luận văn Sau cùng, lời tri ân sâu sắc xin dành cho cha mẹ, người ni dạy khơn lớn hết lịng quan tâm, động viên để hoàn thành luận văn tốt nghiệp II TÓM TẮT Trong năm gần đây, an ninh thông tin trở thành vấn đề quan trọng tổ chức, đặc biệt tổ chức tài chính, ngân hàng Các chuẩn đời nhằm giúp tổ chức có cách tiếp cận tốt để giải vấn đề an ninh thông tin tổ chức ISO27001 chuẩn an ninh thơng tin có mức phổ biến quốc tế nhiều chuyên gia đề nghị áp dụng cho tổ chức Ở Việt nam, dịch vụ ngân hàng điện tử hình thành phát triển mạnh năm gần Các dịch vụ phát triển đồng thời với gia tăng vấn đề an ninh thơng tin địi hỏi ngân hàng phải có cá biện pháp bạo vệ Kết nghiên cứu cho thấy 71.4% ngân hàng lớn có áp dụng chuẩn cho an ninh thơng tin, có 6.3% ngân hàng vừa nhỏ có áp dụng chuẩn Cũng theo kết nghiên cứu cho thấy tỷ lệ áp dụng biện pháp an ninh thông tin ngân hàng lớn 80% có 65% áp dụng ngân hàng vừa nhỏ III ABSTRACT In recent years, information security becomes important for many organizations, especially in credit and banking areas Information security standards established help organization with good approach to solve information security issues ISO27001 is a popular standard recommended by experts In Viet Nam, electronic banking has more and more developed quickly in recent years It also requires the information security better The research shows that there are 71.4% of large banks applying the standards and only 6.3% of medium and small banks applying the standards The research also shows that the percentage of applying security controls is more than 80% to large banks and only 65% of those to medium and small banks IV MỤC LỤC LỜI CẢM ƠN I TÓM TẮT II ABSTRACT III MỤC LỤC IV DANH SÁCH TỪ VIẾT TẮT VI DANH SÁCH HÌNH VẼ VII DANH SÁCH BẢNG VIII CHƯƠNG 1: GIỚI THIỆU 1.1 Tổng quan 1.2 Nêu vấn đề nghiên cứu 1.3 Mục tiêu nghiên cứu 1.4 Đối tượng phạm vi nghiên cứu 1.5 Bố cục luận văn CHƯƠNG 2: TỔNG QUAN LÝ THUYẾT 2.1 Cơ sở lý thuyết 2.1.1 Ngân hàng điện tử 2.1.2 An ninh thông tin 10 2.1.3 Các chuẩn hệ thống quản lý an ninh thông tin 11 2.1.4 Thảo luận chuẩn quản lý an ninh thông tin .20 2.2 Các nghiên cứu trước 23 2.2.1 Nghiên cứu ủy ban Basel quản lý rủi ro ngân hàng điện tử (2003) 23 2.2.2 Nghiên cứu ủy ban Basel nguyên tắc quản lý rủi ro ngân hàng điện tử (2003) 23 2.2.3 Nghiên cứu Hội đồng kiểm tra tổ chức tài liên bang (2003) .25 2.2.4 Nghiên cứu G Gopalakrishna cộng (2011) 26 2.2.5 Khảo sát nhóm an ninh mạng Bkis (tháng 4/2010) .26 CHƯƠNG 3: PHƯƠNG THỨC NGHIÊN CỨU 29 3.1 Phương thức nghiên cứu 29 3.1.1 Nghiên cứu khám phá 29 3.1.2 Nghiên cứu giải thích 29 3.1.3 Nghiên cứu mô tả 29 3.1.4 Lựa chọn phương thức nghiên cứu 30 V 3.2 Cách tiếp cận nghiên cứu 30 3.3 Quy trình nghiên cứu 30 3.3.1 Xác định vấn đề 31 3.3.2 Lược khảo tài liệu 32 3.3.3 Nghiên cứu thực tế 32 3.3.4 Phân tích tổng hợp 32 3.4 Thu thập liệu 32 3.5 Phân tích liệu 33 3.6 Thiết kế câu hỏi khảo sát 34 CHƯƠNG 4: KẾT QUẢ THỰC HIỆN 37 4.1 Thống kê mô tả 37 4.1.1 Phần thông tin chung ngân hàng 37 4.1.2 Chuẩn quy trình quản lý rủi ro an ninh thông tin 39 4.1.3 Các biện pháp quản lý an ninh thông tin 39 4.2 Thống kê phân tích 42 4.2.1 Phân tích theo kích cỡ ngân hàng 42 4.2.2 Phân tích theo mức dịch vụ ngân hàng điện tử 42 4.2.3 Phân tích theo số lượng dịch vụ ngân hàng điện tử 42 4.2.4 Phân tích theo nhóm ngân hàng có sử dụng chuẩn 42 4.2.5 Phân tích theo nhóm ngân hàng có thực quy trình quản lý rủi ro an ninh thông tin 42 4.2.6 Phân tích theo 11 nhóm mục tiêu quản lý 43 4.3 Kết tìm 43 4.4 Các đề xuất 46 CHƯƠNG 5: KẾT LUẬN 49 5.1 Kết luận 49 5.2 Những hạn chế hướng nghiên cứu 49 TÀI LIỆU THAM KHẢO 51 PHỤ LỤC A 54 PHỤ LỤC B 58 VI DANH SÁCH TỪ VIẾT TẮT Từ viết tắt ANTT ISMS IT NHĐT Tp.HCM Giải thích An ninh thơng tin Hệ thống quản lý an ninh thông tin Công nghệ thông tin Ngân hàng điện tử Thành phố Hồ Chí Minh 58 PHỤ LỤC B BẢNG CÂU HỎI KHẢO SÁT Xin chào quý anh/chị… Tôi Trần Đức Tùng, học viên cao học chuyên ngành Hệ Thống Thông Tin Quản Lý trường ĐH Bách Khoa TP.HCM Hiên tại, thực đề tài: “Quản lý an ninh thông tin ngân hàng điện tử” Rất mong quý anh/chị dành thời gian trả lời câu hỏi sau đây: Phần Thông tin chung ngân hàng Ngân hàng bạn thuộc loại hình nào: Ngân hàng thương mại cổ phần Ngân hàng liên doanh Ngân hàng quốc doanh Ngân hàng nước Tổng số nhân viên ngân hàng: < 500 (nhỏ) 500 – 1000 (vừa) >1000 (lớn) Các dịch vụ ngân hàng điện tử mà ngân hàng cung cấp: Internet banking Mobile banking Phone banking Giao dịch trực tuyến thẻ Mức nghiệp vụ ngân hàng điện tử mà ngân hàng cung cấp: Cơ (chỉ cung cấp thông tin) Đơn giản (cho phép vấn thông tin) Phức tạp (cung cấp đầy đủ dịch vụ bao gồm thực giao dịch chuyển tiền, toán, …) 59 Phần Chuẩn quy trình quản lý rủi ro an ninh thông tin Hiện ngân hàng sử dụng loại chuẩn để quản lý an ninh thông tin: COBIT ITIL NIST PCI DSS ISO27001 Không sử dụng Khác, xin nói rõ tên………………… Ngân hàng có sử dụng phương thức quản lý rủi ro an ninh thông tin không (Phương thức quản lý rủi ro an ninh thông tin bao gồm: thiết lập tiêu chuẩn an tồn, xác định rủi ro, phân tích rủi ro, đánh giá rủi ro giám sát, soát xét rủi ro) Có Khơng Phần Các biện pháp quản lý an ninh thơng tin Ngân hàng có sử dụng biện pháp quản lý không Số TT Chuẩn Phần Câu hỏi kiểm tra Trả lời Chính sách an ninh 5.1 Chính sách an ninh thơng tin 5.1.1 Tài liệu sách an ninh thơng tin Ngân hàng có sách an ninh thơng tin phê duyệt ban giám đốc sách truyền đạt đến tất nhân viên hay không Có Khơng Sốt xét sách an ninh thơng tin Chính sách an ninh thơng tin có sốt xét định kỳ có thay đổi quan trọng để đảm bảo tính hiệu quả, đầy đủ liên tục hay khơng Có Khơng 5.1.2 Tổ chức đảm bảo an ninh thông tin 60 Số TT 10 Chuẩn Phần Có Khơng Tổ chức nội 6.1.1 Cam kết ban quản lý đảm bảo an ninh thông tin Điều phối đảm bảo an ninh thông tin Ban quản lý ngân hàng chủ động hỗ trợ biện pháp an ninh ngân hàng hay không Phân định trách nhiệm đảm bảo an ninh thơng tin Liên lạc với nhà chức trách Có quy định rõ trách nhiệm bảo vệ tài sản thực thi quy trình an ninh Có hay không Không 6.1.2 6.1.3 12 6.1.6 14 Trả lời 6.1 11 13 Câu hỏi kiểm tra Các hoạt động an ninh thơng tin có điều phối đại diện với vai trị nhiệm vụ thích hợp từ phận khác ngân hàng hay khơng Có thủ tục mơ tả nơi cần phải liên hệ (ban thực thi luật, ban chữa cháy…) báo cáo có cố xảy hay khơng Có Khơng Có Khơng 6.2 Đối tác bên 6.2.1 Xác định rủi ro liên quan tới đối tác bên Các rủi ro thông tin phương tiện xử lý thơng tin ngân hàng từ quy trình nghiệp vụ liên quan đến bên tham gia bên có xác định triển khai biện pháp quản lý thích hợp trước cấp quyền truy xuất hay không Vấn đề an ninh thỏa thuận với bên thứ ba Các thỏa thuận với bên thứ ba liên quan đến truy xuất, xử lý, truyền thông, quản lý Có thơng tin phương tiện xử lý thơng Không tin ngân hàng, sản phẩm, dịch vụ phụ trợ phương tiện xử lý thông tin có bao hàm tất yêu cầu an ninh có liên quan hay khơng 6.2.3 Có Khơng 61 Số TT Chuẩn Phần Câu hỏi kiểm tra Trả lời Quản lý tài sản 15 16 17 18 7.1 Trách nhiệm tài sản 7.1.1 Kiểm kê tài sản Mọi tài sản có xác định rõ ràng, thực trì kiểm kê tất tài sản quan trọng hay không Quản lý tài sản Mỗi tài sản có đơn vị hay người cụ thể quản lý hay khơng, có phân loại dựa tính chất bảo mật quy định ngăn cấm truy xuất sử dụng hay khơng Có Khơng Sử dụng tài sản hợp lý Các quy tắc sử dụng hợp lý thông tin tài sản gắn với phương tiện xử lý thơng tin có xác định, ghi thành văn triển khai hay khơng Có Khơng 7.1.2 7.1.3 7.2 Phân loại thông tin 7.2.1 Hướng dẫn phân loại Có Khơng Thơng tin có phân loại theo giá trị, yêu cầu pháp lý, độ nhạy cảm quan Có trọng ngân hàng hay khơng Khơng Ví dụ: quy tắc sử dụng internet thư điện tử, hướng dẫn sử dụng thiết bị di động, đặc biệt sử dụng bên trụ sở ngân hàng An ninh nhân 19 8.1 Trước tuyển dụng 8.1.1 Các vai trò trách nhiệm Các vai trò trách nhiệm đảm bảo an ninh thông tin nhân viên, người nhà Có thầu bên thứ ba có xác định ghi Không thành văn phù hợp với sách an ninh thơng tin ngân hàng hay không 62 Số TT 20 21 22 23 24 Chuẩn Phần Câu hỏi kiểm tra 8.1.2 Việc xác minh lai lịch ứng viên tuyển dụng, người nhà thầu bên thứ ba có thực phù hợp với pháp luật, quy định, đạo đức hay khơng (Việc kiểm tra bao gồm người tham chiếu, xác nhận cấp đơn vị đào tạo, hồ sơ tội phạm.) 8.1.3 Thẩm tra Điều khoản Các nhân viên, người nhà thầu bên điều kiện thứ ba có yêu cầu phải đồng ý ký tuyển dụng vào thỏa thuận bảo mật phần điều khoản điều kiện tuyển dụng hay không 8.2 Trong làm việc 8.2.2 Giáo dục huấn luyện nhận thức an ninh thông tin Tất nhân viên ngân hàng và, liên quan, người nhà thầu bên thứ ba có đào tạo nhận thức cập nhật thường xuyên sách, thủ tục an ninh thông tin ngân hàng phần công việc bắt buộc hay không 8.3 Chấm dứt hay thay đổi công việc 8.3.1 Trách nhiệm kết thúc công việc Các trách nhiệm việc kết thúc làm việc thay đổi cơng tác có xác định phân định rõ ràng hay không Hủy quyền truy xuất Các quyền truy xuất thông tin phương tiện xử lý thông tin nhân viên, người nhà thầu bên thứ ba có hủy bỏ họ kết thúc hợp đồng, thuyên chuyển công tác hay không 8.3.3 An ninh vật lý môi trường 9.1 Các khu vực an ninh Trả lời Có Khơng Có Khơng Có Khơng Có Khơng Có Khơng 63 Số TT 25 26 Chuẩn Phần 9.1.2 9.1.4 Câu hỏi kiểm tra Trả lời Kiểm soát khu Các khu vực có bảo vệ biện vực vào pháp kiểm sốt truy xuất thích hợp nhằm đảm bảo người có quyền phép truy xuất hay khơng Có Khơng Bảo vệ chống lại mối đe dọa từ ngồi mơi trường Có Khơng Các biện pháp bảo vệ vật lý chống lại nguy cháy nổ, ngập lụt, động đất, tình trạng náo loạn thảm họa khác thiên nhiên người gây có thiết kế áp dụng hay không 9.2 An ninh cho thiết bị 27 9.2.6 An ninh hủy hay tái sử dụng thiết bị Tất phận thiết bị có chứa phương tiện lưu trữ thơng tin có kiểm Có tra nhằm đảm bảo tất liệu nhạy Không cảm phần mềm có quyền có xóa bỏ ghi đè trước loại bỏ tái sử dụng thiết bị cho mục đích khác khơng 28 9.2.7 Di dời tài sản Có biện pháp kiểm sốt ngăn việc mang thiết bị, thơng tin phần mềm Có khỏi trụ sở chưa phép hay không Không Quản lý truyền thông vận hành 29 30 10.1 Các trách nhiệm thủ tục vận hành 10.1.2 Quản lý thay đổi Các thay đổi phương tiện hệ thống xử lý thơng tin có kiểm sốt hay khơng Phân tách trách nhiệm Các nhiệm vụ phạm vi trách nhiệm có phân tách nhằm giảm thiểu khả sửa đổi trái phép vơ tình, lạm dụng tài sản ngân hàng hay khơng 10.1.3 Có Khơng Có Khơng 64 Số TT 31 32 33 34 35 Chuẩn Phần Câu hỏi kiểm tra 10.2 Quản lý chuyển giao dịch vụ cho bên thứ ba 10.2.2 Giám sát soát xét dịch vụ bên thứ ba Quản lý thay đổi dịch vụ bên thứ ba 10.2.3 Các dịch vụ, báo cáo hồ sơ bên thứ ba cung cấp giám sát sốt xét thường xun hay khơng Các thay đổi cung cấp dịch vụ, bao gồm việc trì cải tiến sách, thủ tục biện pháp quản lý an ninh thông tin hành có quản lý hay khơng Chú ý đến tính quan trọng hệ thống quy trình nghiệp vụ liên quan việc đánh giá lại rủi ro 10.3 Chấp nhận lập kế hoạch hệ thống 10.3.1 Quản lý lực hệ thống Có giám sát lực hệ thống dự báo yêu cầu lực hệ thống tương lai để đảm bảo khả xử lý hệ thống hay khơng Ví dụ: giám sát khả lưu trữ, nhớ, khả CPU máy chủ số lượng khách hàng sử dụng tăng 10.4 Bảo vệ chống lại mã độc hại mã di động 10.4.1 Các biện pháp chống mã độc 10.5 Sao lưu 10.5.1 Sao lưu thơng tin Trả lời Có Khơng Có Khơng Có Khơng Các biện pháp quản lý việc phát hiện, ngăn chặn, phục hồi nhằm chống lại Có đoạn mã độc hại thủ tục tuyên Không truyền nâng cao nhận thức người dùng có thực hay khơng Thơng tin phần mềm có lưu thường xuyên kiểm tra lại chúng theo Có sách lưu thỏa thuận hay Không không 65 Số TT Chuẩn Phần Câu hỏi kiểm tra Trả lời 10.6 Quản lý an ninh mạng 10.6.1 Kiểm soát mạng 10.9 Dịch vụ thương mại điện tử 37 10.9.1 Thương mại điện tử Thông tin thương mại điện tử truyền qua mạng cơng cộng có bảo vệ Có tránh khỏi hoạt động gian lận, tranh Không cãi giao kèo, sửa đổi tiết lộ trái phép hay không 38 10.9.2 Giao dịch trực tuyến Thông tin giao dịch trực tuyến có bảo vệ ngăn việc truyền khơng đầy Có đủ thơng tin, sai địa chỉ, sửa đổi thông điệp Không trái phép, tiết lộ trái phép, chép thông điệp trái phép thực lại giao dịch hay không 10.10 Giám sát 39 10.10 Giám sát việc sừ dụng hệ thống Có thủ tục giám sát việc sử dụng phương tiện xử lý thơng tin thường Có xun xem xét lại kết giám sát hay Không không (Các thủ thục giám sát sử dụng cần thiết nhằm đảm bảo người dùng thực hoạt động cấp phép.) 40 10.10 Bảo vệ thông tin nhật ký Các chức ghi nhật ký thơng tin nhật ký có bảo vệ khỏi giả mạo truy xuất trái phép hay không 10.10 Nhật ký Các hoạt động người quản trị người 36 41 Các mạng có quản lý kiểm sốt cách thỏa đáng nhằm bảo vệ khỏi Có mối đe dọa trì an tồn cho hệ Khơng thống, ứng dụng sử dụng mạng thông tin truyền mạng hay khơng Có Khơng 66 Số TT 42 Chuẩn Phần Câu hỏi kiểm tra Trả lời vận hành hệ thống có ghi vào nhật ký hay khơng Có Khơng 10.10 người vận hành quản trị Đồng thời gian Đồng hồ hệ thống xử lý thông tin ngân hàng phạm vi an tồn có đồng với nguồn thời gian xác đồng ý lựa chọn hay khơng Có Khơng Kiểm soát truy xuất 43 44 45 46 47 11.1 Yêu câu nghiệp vụ cho quản lý truy xuất 11.1.1 Chính sách kiểm sốt truy xuất Chính sách quản lý truy xuất có thiết lập, ghi thành văn soát xét dựa yêu cầu nghiệp vụ bảo mật truy xuất hay không 11.2 Quản lý truy xuất người dùng 11.2.4 Soát xét quyền Ban quản lý có định kỳ sốt xét quyền truy xuất truy xuất người dùng theo quy người dung trình thức hay khơng 11.3 Trách nhiệm người dùng 11.3.1 Sử dụng mật Người dùng có yêu cầu tuân thủ quy tắc thực hành an toàn tốt việc lựa chọn sử dụng mật hay khơng Chính sách bàn làm việc Ngân hàng có thực sách bàn làm việc khơng có giấy tờ phương tiện lưu trữ di động sách hình cho phương tiện xử lý thông tin hay không 11.3.3 11.4 Kiểm sốt truy xuất mạng 11.4.1 Chính sách sử dụng dịch vụ Có biện pháp cho phép người dùng quyền truy xuất đến dịch vụ mà họ Có Khơng Có Khơng Có Khơng Có Khơng Có 67 Số TT 48 Chuẩn Phần 11.4.2 49 11.4.5 50 11.4.6 51 Trả lời mạng cho phép hay không Không Chứng thực người dung cho kết nối bên Phân tách mạng Các biện pháp xác thực thích hợp có sử dụng để quản lý truy xuất người dùng từ xa hay khơng Có Khơng Kiểm sốt kết nối mạng Đối với mạng chia sẻ, đặc biệt mạng mở rộng ngồi ngân hàng, số người dùng kết nối vào mạng có giới hạn, phù hợp với sách quản lý truy xuất yêu cầu ứng dụng nghiệp vụ hay khơng Các nhóm người dùng, dịch vụ hệ thống thơng tin có phân tách mạng Có hay khơng Khơng 11.5 Kiểm soát truy xuất hệ điều hành 11.5.2 Định danh chứng thực người dùng Hệ thống quản lý mật Mỗi người dùng có cung cấp định danh hay khơng Sử dụng tiện ích hệ thống Việc sử dụng chương trình tiện ích có khả ảnh hưởng đến việc quản lý hệ thống chương trình ứng dụng khác có giới hạn kiểm sốt chặt chẽ hay khơng Giới hạn thời gian kết nối Có hạn chế thời gian kết nối để làm tăng độ an toàn cho ứng dụng có mức rủi ro 52 11.5.3 53 11.5.4 54 Câu hỏi kiểm tra 11.5.6 Có Khơng Có Khơng Có hệ thống quản lý mật hệ thống với biện pháp như: bắt buộc thay đổi mật Có định kỳ, bắt buột mật phải đạt Không chất lượng theo yêu cầu, lưu trữ mật dạng mã hóa…) hay khơng Có Khơng Có 68 Số TT 55 56 57 Chuẩn Phần Câu hỏi kiểm tra Trả lời cao không (Việc hạn chế thời gian kết nối tới dịch vụ máy tính làm giảm hội cho truy cập trái phép Việc hạn chế thời gian phiên làm việc ngăn chặn người dùng giữ phiên mở để tránh phải xác thực lại.) Khơng 11.6 Kiểm sốt truy xuất thơng tin ứng dụng 11.6.1 Hạn chế truy xuất thông tin Truy xuất người dùng nhân viên hỗ trợ tới thông tin chức hệ thống ứng dụng có hạn chế phù hợp với sách quản lý truy xuất xác định hay không (Những hạn chế truy xuất cần dựa yêu cầu ứng dụng nghiệp vụ cụ thể.) 11.7 Tính tốn di động làm việc từ xa 11.7.1 Tính tốn truyền thơng qua thiết bị di động Có sách thức biện pháp an ninh thơng tin thích hợp nhằm bảo vệ trước rủi ro sử dụng tính tốn truyền thơng di động khơng (Một số vídụ tính tốn phương tiện truyền thơng di động bao gồm: máy tính xách tay, thẻ thông minh, điện thoại, PDA ) Làm việc từ xa Chính sách, kế hoạch điều hành thủ tục có phát triển triển khai cho hoạt động làm việc từ xa hay không 11.7.2 Tiếp nhận, phát triển, bảo trì hệ thống thơng tin Có Khơng Có Khơng Có Khơng 69 Số TT 58 59 60 61 Chuẩn Phần Câu hỏi kiểm tra 12.1 Các yêu cầu an ninh cho hệ thống thơng tin 12.1.1 Các phân tích đặc tả u cầu an ninh Các thông báo yêu cầu nghiệp vụ hệ thống thông tin mua hệ thống thơng tin có sẵn cải tiến có rõ yêu cầu biện pháp quản lý an ninh thông tin hay không 12.2 Xử lý ứng dụng 12.2.1 Kiểm tra tính hợp lệ liệu đầu vào Dữ liệu nhập vào ứng dụng có kiểm tra tính hợp lệ nhằm đảm bảo liệu xác thích hợp hay khơng Việc kiểm tra cần áp dụng cho đầu vào giao dịch nghiệp vụ, liệu (ví dụ tên địa chỉ, hạn mức tín dụng, số tham chiếu khách hàng), bảng tham số (ví dụ giá bán,tỷ giá chuyển đổi tiền tệ, mức thuế suất) Kiểm soát xử lý nội Việc kiểm tra tính hợp lệ có tích hợp ứng dụng nhằm phát thông tin sai lệch lỗi trình xử lý hành vi có chủ ý hay khơng (Dữ liệu nhập bị sửa đổi lỗi phần cứng, lỗi xử lý hoạt động cố ý Việc kiểm tra tính hợp lệ yêu cầu phụ thuộc vào tính chất ứng dụng tác động nghiệp vụ từ sửa đổi liệu.) Kiểm tra tính hợp lệ liệu đầu Dữ liệu xuất từ ứng dụng có kiểm tra tính hợp lệ nhằm đảm bảo q trình xử lý thơng tin xác thích hợp trường hợp hay khơng 12.2.2 12.2.4 12.3 Kiểm sốt mã hóa Trả lời Có Khơng Có Khơng Có Khơng Có Khơng 70 Số TT 62 63 64 65 66 Chuẩn Phần Câu hỏi kiểm tra Trả lời 12.3.1 Chính sách sử dụng mã hóa Chính sách việc sử dụng biện pháp quản lý mã hóa để bảo vệ thơng tin có xây dựng triển khai hay khơng Có Khơng Quản lý khóa Ngân hàng có quy định, quy trình sử dụng khóa mã hóa hay khơng 12.3.2 Có Khơng 12.5 An ninh quy trình phát tiển hỗ trợ 12.5.3 Hạn chế thay đổi gói phần mềm Việc sửa đổi gói phần mềm khơng khuyến khích, cần hạn chế thực thay đổi cần thiết Trong trường hợp này, thay đổi có quản lý chặt chẽ hay khơng 12.5.5 Phát triển phần mềm gia cơng ngồi Việc phát triển phần mềm th gia cơng ngồi có quản lý giám sát Có ngân hàng hay không Không 12.6 Quản lý yếu điểm kỹ thuật 12.6.1 Kiểm soát yếu điểm kỹ thuật Thông tin kịp thời điểm yếu kỹ thuật hệ thống thông tin sử dụng có thu thập hay khơng Ngân hàng có cơng bố đánh giá điểm yếu thực biện pháp thích hợp để giải rủi ro liên quan hay khơng Có Khơng Có Khơng Quản lý cố an ninh thông tin 67 13.1 Báo cáo kiện an ninh thông tin nhược điểm 13.1.1 Báo cáo kiện an ninh Các kiện an ninh thơng tin có báo cáo thơng qua kênh quản lý thích hợp Có 71 Số TT Chuẩn Phần thông tin Câu hỏi kiểm tra Trả lời theo cách nhanh hay không Không 13.2 Quản lý cố an ninh thông tin cải tiến 68 13.2.1 Các trách nhiệm thủ tục Các thủ tục trách nhiệm quản lý có thiết lập nhằm đảm bảo phản ứng nhanh Có chóng, hiệu quả, trình tự xảy Không cố an ninh thông tin hay không 69 13.2.2 Bài học từ cố an ninh thơng tin Ngân hàng có chế sẵn sàng nhằm cho phép lượng hóa giám sát kiểu, số lượng tổn thất cố an ninh thông tin không Thu thập chứng cư Khi có cố an ninh thơng tin xảy ra, liên quan đến pháp luật (có thể dân Có hình sự), chứng có thu Khơng thập, giữ lại, trình bày cho phù hợp với quy định pháp lý hay không 70 13.2.3 Có Khơng Quản lý liên tục hoạt động nghiêp vụ 14.1 Các vấn đề an ninh thông tin quản lý hoạt động liên tục 71 14.1.1 An ninh thơng tin quy trình quản lý hoạt động liên tục Một quy trình quản lý có xây dựng trì nhằm đảm bảo hoạt động Có /ngân hàng khơng bị gián đoạn hay khơng Khơng (Nội dung quy trình đề cập yêu cầu an ninh thông tin cần thiết nhằm đảm bảo hoạt động liên tục cho ngân hàng.) 72 14.1.2 Đánh giá rủi ro hoạt động liên tục Các kiện gây gián đoạn gián đoạn hoạt động ngân hàng có Có xác định với xác suất, ảnh hưởng Không hậu chúng an ninh thông tin hay không Tuân thủ 72 Số TT 73 74 Chuẩn Phần 15.1 Tuân thủ yêu cầu pháp lý 15.1.4 Bảo vệ liệu, thông tin cá nhân Việc bảo vệ liệu tính riêng tư có đảm bảo theo yêu cầu pháp lý, quy định, điều khoản hợp đồng có hay khơng Ngăn ngừa lạm dụng phương tiện xử lý thơng tin Có biện pháp ngăn chặn người dùng khỏi việc sử dụng phương tiện xử lý thông tin vào mục đích khơng phép hay khơng Ví dụ lạm dụng sử dụng máy tính, đường truyền Internet, máy in, … 15.1.5 75 Câu hỏi kiểm tra 15.3 Xem xét kiểm tốn an ninh thơng tin 15.3.1 Các biện pháp kiểm tốn hệ thống thơng tin Các u cầu hoạt động kiểm toán hệ thống điều hành có hoạch định thận trọng thống nhằm hạn chế rủi ro đổ vỡ quy trình hoạt động nghiệp vụ hay khơng Trả lời Có Khơng Có Khơng Có Khơng Cuối xin chân thành cảm ơn quý anh/chị dành thời gian trả lời câu hỏi ... Chương trình bày sở lý thuyết vấn đề liên quan gồm: ngân hàng điện tử, an ninh thông tin, chuẩn quản lý an ninh thông tin nghiên cứu trước an ninh thông tin cho ngân hàng điện tử Chương trình bày... lý thuyết tìm hiểu bao gồm: khái niệm ngân hàng điện tử, an ninh thông tin, chuẩn quản lý an ninh thông tin vấn đề quản lý an ninh thông tin ngân hàng điện tử 3.3.3 Nghiên cứu thực tế Đây cách... thống quản lý an ninh thông tin, trách nhiệm ban quản lý, kiểm soát nội hệ thống quản lý an ninh thơng tin, ban sốt xét hệ thống an ninh thơng tin vấn đề nâng cấp hệ thống an ninh thông tin Ở