Hệ thống pháp luật

Mục 9 Chương 2 Thông tư 18/2018/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành

Mục 9. BẢO ĐẢM HOẠT ĐỘNG LIÊN TỤC CỦA HỆ THỐNG THÔNG TIN

Điều 48. Nguyên tắc bảo đảm hoạt động liên tục

1. Tổ chức thực hiện các yêu cầu tối thiểu sau:

a) Phân tích tác động và đánh giá rủi ro đối với việc gián đoạn hoặc ngừng hoạt động của hệ thống thông tin;

b) Xây dựng quy trình và kịch bản bảo đảm hoạt động liên tục hệ thống thông tin theo quy định tại Điều 50 Thông tư này;

c) Tổ chức triển khai bảo đảm hoạt động liên tục theo quy định tại Điều 51 Thông tư này.

2. Trên cơ sở phân tích tác động và đánh giá rủi ro tại điểm a Khoản 1 Điều này, tổ chức lập danh sách các hệ thống thông tin cần bảo đảm hoạt động liên tục tối thiểu bao gồm:

a) Hệ thống thông tin phục vụ hoạt động nội bộ hàng ngày của tổ chức và không chấp nhận ngừng vận hành quá 4 giờ làm việc;

b) Hệ thống phục vụ khách hàng yêu cầu hoạt động 24/7;

c) Hệ thống cung cấp giao dịch trực tuyến cho khách hàng;

d) Hệ thống thông tin mức độ 3.

3. Các hệ thống cần bảo đảm hoạt động liên tục tại Khoản 2 Điều này phải bảo đảm tính sẵn sàng cao và có hệ thống dự phòng thảm họa.

Điều 49. Xây dựng hệ thống dự phòng thảm họa

1. Tổ chức xây dựng hệ thống dự phòng thảm họa đáp ứng các yêu cầu sau:

a) Đánh giá rủi ro và xem xét khả năng xảy ra các thảm họa ảnh hưởng đồng thời tới cả hệ thống thông tin chính và hệ thống thông tin dự phòng thảm họa khi lựa chọn địa điểm đặt hệ thống dự phòng thảm họa như: thảm họa tự nhiên như động đất, lũ lụt, bão, đại dịch; thảm họa do yếu tố con người và công nghệ như các sự cố về mạng lưới điện, hỏa hoạn, giao thông, tấn công an ninh mạng;

b) Địa điểm đặt hệ thống dự phòng phải đáp ứng các yêu cầu quy định tại Điều 16 Thông tư này;

c) Hệ thống dự phòng phải bảo đảm khả năng thay thế hệ thống chính trong Khoảng thời gian: (i) 4 giờ đồng hồ đối với: hệ thống thông tin phục vụ hoạt động nội bộ hàng ngày của tổ chức và không chấp nhận ngừng vận hành quá 4 giờ làm việc, hệ thống phục vụ khách hàng yêu cầu hoạt động 24/7, hệ thống cung cấp giao dịch trực tuyến cho khách hàng, hệ thống thông tin mức độ 3; (ii) 24 giờ đồng hồ đối với các hệ thống khác.

2. Các tổ chức chỉ có một trụ sở làm việc tại Việt Nam phải có văn phòng dự phòng tại một địa điểm khác tách biệt trụ sở làm việc và có trang thiết bị để bảo đảm hoạt động liên tục thay thế trụ sở làm việc.

Điều 50. Xây dựng quy trình, kịch bản bảo đảm hoạt động liên tục

Tổ chức xây dựng quy trình, kịch bản bảo đảm hoạt động liên tục như sau:

1. Xây dựng quy trình xử lý các tình huống mất an toàn, gián đoạn hoạt động của từng cấu phần trong hệ thống thông tin từ mức độ 2 trở lên.

2. Xây dựng kịch bản chuyển đổi hệ thống dự phòng thay thế cho hoạt động của hệ thống chính, bao gồm nội dung công việc, trình tự thực hiện, dự kiến thời gian hoàn thành đáp ứng các nội dung sau:

a) Có các nguồn lực, phương tiện và các yêu cầu cần thiết để thực hiện;

b) Có các mẫu biểu ghi nhận kết quả;

c) Bố trí và phân công trách nhiệm cho nhân sự tham gia với các vai trò: chỉ đạo thực hiện, giám sát, thực hiện chuyển đổi, vận hành chính thức và kiểm tra kết quả;

d) Áp dụng biện pháp bảo đảm an toàn thông tin;

đ) Có phương án bảo đảm hoạt động liên tục khi việc chuyển đổi không thành công.

3. Các tổ chức chỉ có một trụ sở làm việc tại Việt Nam phải xây dựng kịch bản chuyển đổi hoạt động sang văn phòng dự phòng.

4. Quy trình, kịch bản chuyển đổi phải được kiểm tra và cập nhật khi có sự thay đổi của hệ thống thông tin, cơ cấu tổ chức, nhân sự và phân công trách nhiệm của các bộ phận có liên quan trong tổ chức.

Điều 51. Tổ chức triển khai bảo đảm hoạt động liên tục

1. Tổ chức phải có kế hoạch và tổ chức triển khai bảo đảm hoạt động liên tục hệ thống thông tin theo các yêu cầu sau:

a) Tối thiểu sáu tháng một lần, tiến hành kiểm tra, đánh giá hoạt động của hệ thống dự phòng;

b) Định kỳ hàng năm, thực hiện chuyển hoạt động chính thức từ hệ thống chính sang hệ thống dự phòng tối thiểu 1 ngày làm việc của từng hệ thống thông tin theo danh sách tại Khoản 2 Điều 48 Thông tư này; đánh giá kết quả và cập nhật các quy trình, kịch bản chuyển đổi (nếu có).

2. Các tổ chức chỉ có một trụ sở làm việc tại Việt Nam phải tổ chức thực hiện diễn tập bảo đảm hoạt động liên tục định kỳ hàng năm.

3. Thông báo kế hoạch diễn tập chuyển đổi hoạt động liên tục cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) chậm nhất là 5 ngày làm việc trước khi thực hiện.

Thông tư 18/2018/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành

  • Số hiệu: 18/2018/TT-NHNN
  • Loại văn bản: Thông tư
  • Ngày ban hành: 21/08/2018
  • Nơi ban hành: Quốc hội
  • Người ký: Nguyễn Kim Anh
  • Ngày công báo: Đang cập nhật
  • Số công báo: Đang cập nhật
  • Ngày hiệu lực: 01/01/2019
  • Tình trạng hiệu lực: Kiểm tra
MỤC LỤC VĂN BẢN
CHƯƠNG 1: QUY ĐỊNH CHUNG
CHƯƠNG 2: CÁC QUY ĐỊNH VỀ BẢO ĐẢM AN TOÀN THÔNG TIN
Mục 1: QUẢN LÝ TÀI SẢN CÔNG NGHỆ THÔNG TIN
Mục 2: QUẢN LÝ NGUỒN NHÂN LỰC
Mục 3: BẢO ĐẢM AN TOÀN VỀ MẶT VẬT LÝ VÀ MÔI TRƯỜNG NƠI LẮP ĐẶT TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN
Mục 4: QUẢN LÝ VẬN HÀNH VÀ TRAO ĐỔI THÔNG TIN
Mục 5: QUẢN LÝ TRUY CẬP
Mục 6: QUẢN LÝ SỬ DỤNG DỊCH VỤ CÔNG NGHỆ THÔNG TIN CỦA BÊN THỨ BA
Mục 7: QUẢN LÝ TIẾP NHẬN, PHÁT TRIỂN, DUY TRÌ HỆ THỐNG THÔNG TIN
Mục 8: QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN
Mục 9: BẢO ĐẢM HOẠT ĐỘNG LIÊN TỤC CỦA HỆ THỐNG THÔNG TIN
Mục 10: KIỂM TRA NỘI BỘ VÀ CHẾ ĐỘ BÁO CÁO
CHƯƠNG 3: ĐIỀU KHOẢN THI HÀNH
MỤC LỤC VĂN BẢN
HIỂN THỊ DANH SÁCH