Điều 22 Thông tư 01/2011/TT-NHNN quy định việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành
Điều 22. Yêu cầu nghiệp vụ đối với kiểm soát truy cập
1. Xây dựng và thực hiện các quy định về quản lý truy cập đối với người sử dụng, nhóm người sử dụng, đảm bảo đáp ứng yêu cầu nghiệp vụ và yêu cầu an toàn, bảo mật. Quy định về quản lý truy cập bao gồm các nội dung cơ bản sau:
a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập của người sử dụng;
b) Giới hạn và kiểm soát các truy cập đặc quyền;
c) Quản lý, cấp phát mật khẩu;
d) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng.
2. Quy định về quản lý mật khẩu phải đáp ứng các yêu cầu sau:
a) Mật khẩu phải có độ dài sáu ký tự trở lên, cấu tạo gồm các ký tự số, chữ và các ký tự đặc biệt khác nếu hệ thống cho phép. Các yêu cầu mật khẩu hợp lệ phải được kiểm tra tự động khi thiết lập mật khẩu;
b) Các mật khẩu mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm, cơ sở dữ liệu phải được thay đổi ngay khi đưa vào sử dụng;
c) Phần mềm quản lý mật khẩu phải có các chức năng: Thông báo người sử dụng thay đổi mật khẩu sắp hết hạn sử dụng; hủy hiệu lực của mật khẩu hết hạn sử dụng; cho phép thay đổi ngay mật khẩu bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng; ngăn chặn việc sử dụng lại mật khẩu cũ trong một khoảng thời gian nhất định.
3. Quy định trách nhiệm người sử dụng khi được cấp quyền truy cập: Sử dụng mật khẩu đúng quy định, giữ bí mật mật khẩu, thoát khỏi hệ thống khi không làm việc trên hệ thống hoặc tạm thời không làm việc trên hệ thống.
Thông tư 01/2011/TT-NHNN quy định việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành
- Số hiệu: 01/2011/TT-NHNN
- Loại văn bản: Thông tư
- Ngày ban hành: 21/02/2011
- Nơi ban hành: Quốc hội
- Người ký: Nguyễn Toàn Thắng
- Ngày công báo: 10/03/2011
- Số công báo: Từ số 119 đến số 120
- Ngày hiệu lực: 07/04/2011
- Tình trạng hiệu lực: Kiểm tra
- Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
- Điều 2. Giải thích từ ngữ
- Điều 3. Nguyên tắc chung
- Điều 4. Quy chế an toàn, bảo mật hệ thống CNTT
- Điều 5. Quản lý an toàn, bảo mật CNTT trong nội bộ đơn vị
- Điều 6. Quản lý an toàn, bảo mật CNTT của đơn vị đối với bên thứ ba
- Điều 13. Quy trình vận hành
- Điều 14. Quản lý các dịch vụ do bên thứ ba cung cấp
- Điều 15. Quản lý việc lập kế hoạch và chấp nhận hệ thống CNTT
- Điều 16. Sao lưu dự phòng
- Điều 17. Quản lý về an toàn, bảo mật mạng
- Điều 18. Trao đổi thông tin
- Điều 19. Các dịch vụ thương mại điện tử
- Điều 20. Giám sát và ghi nhật ký hoạt động của hệ thống CNTT
- Điều 21. Phòng chống vi rút và phần mềm độc hại
- Điều 22. Yêu cầu nghiệp vụ đối với kiểm soát truy cập
- Điều 23. Quản lý truy cập mạng
- Điều 24. Kiểm soát truy cập hệ điều hành
- Điều 25. Kiểm soát truy cập thông tin và ứng dụng