Mục 3 Chương 2 Thông tư 01/2011/TT-NHNN quy định việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành

a) Xác định trách nhiệm về an toàn, bảo mật CNTT của vị trí cần tuyển dụng hoặc phân công.

b) Kiểm tra lý lịch, xem xét đánh giá nghiêm ngặt tư cách đạo đức, trình độ chuyên môn khi tuyển dụng, phân công cán bộ, nhân viên làm việc tại các vị trí trọng yếu của hệ thống CNTT như quản trị hệ thống, quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị cơ sở dữ liệu.

c) Quyết định hoặc hợp đồng tuyển dụng (nếu có) phải bao gồm các điều khoản về trách nhiệm đảm bảo an toàn, bảo mật CNTT của người được tuyển dụng trong và sau khi làm việc tại đơn vị.

a) Đơn vị có trách nhiệm phổ biến và cập nhật các quy định về an toàn, bảo mật CNTT cho cán bộ, nhân viên.

b) Yêu cầu và kiểm tra việc thi hành các quy định về an toàn, bảo mật CNTT của cá nhân, tổ chức thuộc đơn vị tối thiểu mỗi năm một lần.

c) Áp dụng các biện pháp kỷ luật đối với cán bộ, nhân viên của đơn vị vi phạm quy định an toàn, bảo mật CNTT.

d) Những công việc quan trọng như cấu hình hệ thống an ninh mạng, thay đổi tham số hệ điều hành, cài đặt thiết bị tường lửa, thiết bị phát hiện và ngăn chặn xâm nhập (IPS) phải được thực hiện bởi ít nhất hai người hoặc phải có người giám sát.

đ) Không được cấp quyền quản trị (người có thể chỉnh sửa cấu hình, dữ liệu, nhật ký) trên hệ thống CNTT chính và hệ thống dự phòng cho cùng một cá nhân.

a) Xác định rõ trách nhiệm của cán bộ, nhân viên và các bên liên quan về hệ thống CNTT.

b) Làm biên bản bàn giao tài sản với cán bộ, nhân viên.

c) Thu hồi hoặc thay đổi quyền truy cập hệ thống CNTT của cán bộ, nhân viên cho phù hợp với công việc được thay đổi.

a) Yêu cầu bên thứ ba cung cấp danh sách nhân sự tham gia.

b) Kiểm tra tư cách pháp lý, năng lực chuyên môn của nhân sự bên thứ ba phù hợp với yêu cầu công việc.

c) Yêu cầu bên thứ ba ký cam kết không tiết lộ thông tin của đơn vị đối với các thông tin quan trọng.

a) Cung cấp và yêu cầu bên thứ ba tuân thủ đầy đủ các quy chế, quy định về an toàn, bảo mật CNTT của đơn vị.

b) Giám sát việc tuân thủ các quy định an toàn, bảo mật CNTT của nhân sự bên thứ ba.

c) Trong trường hợp phát hiện dấu hiệu vi phạm hoặc vi phạm quy định an toàn, bảo mật thông tin của bên thứ ba, đơn vị cần:

- Tạm dừng hoặc đình chỉ hoạt động của bên thứ ba tùy theo mức độ vi phạm.

- Thông báo chính thức các vi phạm về an toàn, bảo mật CNTT của nhân sự cho bên thứ ba.

- Kiểm tra xác định, lập báo cáo mức độ vi phạm và thông báo cho bên thứ ba thiệt hại xảy ra.

- Thu hồi quyền truy cập hệ thống CNTT đã được cấp cho bên thứ ba.

a) Yêu cầu bên thứ ba bàn giao lại tài sản sử dụng của đơn vị trong quá trình triển khai công việc.

b) Thu hồi quyền truy cập hệ thống CNTT đã được cấp của bên thứ ba ngay sau khi kết thúc công việc.

c) Thay đổi các khóa, mật khẩu nhận bàn giao từ bên thứ ba.