Mục 5 Chương 2 Thông tư 01/2011/TT-NHNN quy định việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành

1. Ban hành và triển khai quy trình vận hành các hệ thống CNTT đến người sử dụng bao gồm: Quy trình bật, tắt thiết bị; quy trình sao lưu, phục hồi dữ liệu; quy trình bảo dưỡng thiết bị; quy trình vận hành ứng dụng; quy trình xử lý sự cố.

2. Kiểm soát sự thay đổi của hệ thống CNTT gồm: Phiên bản phần mềm, cấu hình phần cứng, tài liệu, quy trình vận hành; có phương án dự phòng cho việc phục hồi nếu sự thay đổi không thành công hoặc gặp các sự cố không dự tính được; ghi chép lại các thay đổi; lập kế hoạch thực hiện và kiểm tra, thử nghiệm sự thay đổi trước khi áp dụng chính thức.

3. Hệ thống vận hành chính thức phải đáp ứng yêu cầu:

- Tách biệt với môi trường phát triển và môi trường kiểm tra, thử nghiệm.

- Chỉ cho phép kết nối Internet đối với hệ thống CNTT đã được áp dụng đầy đủ các giải pháp an ninh, an toàn và đủ khả năng bảo vệ trước các hiểm họa, tấn công từ bên ngoài.

- Không cài đặt các công cụ, phương tiện phát triển ứng dụng trên hệ thống vận hành chính thức.

4. Đối với hệ thống thông tin nghiệp vụ:

1. Phải giám sát và kiểm tra các dịch vụ do bên thứ ba cung cấp đảm bảo mức độ cung cấp dịch vụ, khả năng hoạt động hệ thống đáp ứng đúng theo thỏa thuận đã ký kết.

2. Đảm bảo triển khai, duy trì các biện pháp an toàn, bảo mật của dịch vụ do bên thứ ba cung cấp theo đúng thỏa thuận.

3. Quản lý các thay đổi đối với các dịch vụ của bên thứ ba cung cấp bao gồm: Nâng cấp phiên bản mới; sử dụng các kỹ thuật mới, các công cụ và môi trường phát triển mới. Đánh giá đầy đủ tác động của việc thay đổi, đảm bảo an toàn khi được đưa vào sử dụng.

1. Giám sát và tối ưu hiệu suất của hệ thống CNTT; lập kế hoạch về hiệu suất, dung lượng của hệ thống CNTT trong tương lai nhằm đảm bảo tiêu chuẩn cần thiết.

2. Xây dựng các yêu cầu, tiêu chuẩn như hiệu năng, thời gian phục hồi khi gặp sự cố, đảm bảo tính liên tục; đào tạo và chuyển giao kỹ thuật đối với những nội dung thay đổi cho người sử dụng và thực hiện kiểm tra đánh giá khả năng đáp ứng của hệ thống CNTT mới hoặc hệ thống nâng cấp trước khi áp dụng chính thức.

1. Ban hành và thực hiện quy trình sao lưu dự phòng và phục hồi cho các phần mềm, dữ liệu cần thiết.

2. Lập danh sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo thời gian lưu trữ, thời gian sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.

3. Dữ liệu sao lưu phải được lưu trữ an toàn và được kiểm tra thường xuyên đảm bảo sẵn sàng cho việc sử dụng khi cần. Kiểm tra, phục hồi hệ thống từ dữ liệu sao lưu tối thiểu sáu tháng một lần.

1. Thực hiện việc quản lý và kiểm soát mạng nhằm ngăn ngừa các hiểm họa và duy trì an toàn cho các hệ thống, ứng dụng sử dụng mạng:

2. Thiết lập, cấu hình đầy đủ các tính năng của thiết bị an ninh mạng. Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng và các truy cập bất hợp pháp vào hệ thống mạng. Thường xuyên kiểm tra, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.

3. Xác định và ghi rõ các tính năng an toàn, các mức độ bảo mật của dịch vụ và yêu cầu quản lý trong các thỏa thuận về dịch vụ mạng do bên thứ ba cung cấp.

1. Ban hành các quy định trao đổi thông tin và phần mềm qua mạng truyền thông trong đơn vị và với các đơn vị khác. Xác định trách nhiệm và nghĩa vụ pháp lý với các thành phần tham gia.

2. Có thỏa thuận cho việc trao đổi thông tin với bên ngoài.

3. Có biện pháp bảo vệ phương tiện mang tin khi vận chuyển.

4. Xây dựng và thực hiện các biện pháp bảo vệ thông tin trao đổi giữa các hệ thống CNTT.

1. Có biện pháp bảo vệ thông tin trong thương mại điện tử nhằm chống lại các hoạt động gian lận, sửa đổi trái phép:

2. Thông tin trong các giao dịch trực tuyến phải được truyền đầy đủ, đúng địa chỉ, tránh bị sửa đổi, tiết lộ hoặc nhân bản một cách trái phép.

3. Thông tin công khai trên các hệ thống CNTT phải được bảo vệ nhằm ngăn chặn sự sửa đổi trái phép.

1. Ghi nhật ký và quy định thời gian lưu trữ các thông tin về hoạt động của hệ thống CNTT và người sử dụng, lỗi phát sinh và các sự cố mất an toàn thông tin nhằm trợ giúp cho việc điều tra giám sát về sau.

2. Xem xét và lập báo cáo định kỳ về nhật ký và có các hoạt động xử lý các lỗi, sự cố cần thiết.

3. Bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo và truy cập trái phép. Người quản trị hệ thống và người sử dụng không được xóa hay sửa đổi nhật ký hệ thống ghi lại các hoạt động của chính họ.

4. Có cơ chế đồng bộ thời gian giữa các hệ thống CNTT.

1. Triển khai hệ thống phòng chống vi rút máy tính cho toàn bộ hệ thống CNTT của đơn vị.

2. Kiểm tra, diệt vi rút, mã độc cho toàn bộ hệ thống CNTT của đơn vị hàng ngày và phương tiện mang tin nhận từ bên ngoài trước khi sử dụng.

3. Không mở các thư điện tử lạ, các tệp tin đính kèm hoặc các liên kết trong các thư lạ để tránh vi rút, mã độc.

4. Không vào các trang web không có nguồn gốc xuất xứ rõ ràng, đáng ngờ.

5. Cập nhật kịp thời các mẫu vi rút, mã độc mới và các phần mềm chống vi rút, mã độc mới.

6. Báo ngay cho người quản trị hệ thống xử lý trong trường hợp phát hiện nhưng không diệt được vi rút, mã độc.

7. Không tự ý cài đặt các phần mềm khi chưa được phép của người quản trị hệ thống.