Mục 4 Chương 2 Thông tư 31/2015/TT-NHNN Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành

1. Ban hành các quy trình vận hành hệ thống công nghệ thông tin, tối thiểu bao gồm: Quy trình khởi động, đóng hệ thống; quy trình sao lưu, phục hồi dữ liệu; quy trình vận hành ứng dụng; quy trình xử lý sự cố; quy trình giám sát và ghi nhật ký hoạt động của hệ thống. Trong đó phải xác định rõ phạm vi, trách nhiệm của người sử dụng, vận hành hệ thống.

2. Kiểm soát sự thay đổi của phiên bản phần mềm, cấu hình phần cứng, quy trình vận hành: ghi chép lại các thay đổi; lập kế hoạch, thực hiện kiểm tra, thử nghiệm sự thay đổi, báo cáo kết quả và phải được phê duyệt trước khi áp dụng chính thức. Có phương án dự phòng cho việc phục hồi hệ thống trong trường hợp thực hiện thay đổi không thành công hoặc gặp các sự cố không có khả năng dự tính trước.

3. Hệ thống công nghệ thông tin vận hành chính thức phải đáp ứng yêu cầu:

4. Đối với hệ thống công nghệ thông tin xử lý giao dịch khách hàng:

1. Đơn vị phải xây dựng tiêu chuẩn, định mức, yêu cầu kỹ thuật để đảm bảo hệ thống hệ công nghệ thông tin hoạt động bình thường đối với tất cả các hệ thống hiện có và các hệ thống công nghệ thông tin trước khi đưa vào áp dụng chính thức.

2. Căn cứ các tiêu chuẩn, định mức, yêu cầu kỹ thuật đã xây dựng, đơn vị thực hiện giám sát, tối ưu hiệu suất của hệ thống công nghệ thông tin; đánh giá khả năng đáp ứng của hệ thống công nghệ thông tin để dự báo, lập kế hoạch mở rộng, nâng cấp đảm bảo khả năng đáp ứng trong tương lai.

3. Đơn vị phải rà soát, cập nhật tiêu chuẩn, định mức, yêu cầu kỹ thuật khi có sự thay đổi đối với hệ thống công nghệ thông tin. Thực hiện đào tạo và chuyển giao kỹ thuật đối với những nội dung thay đổi cho các nhân sự có liên quan.

1. Lập danh sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo mức độ quan trọng, thời gian lưu trữ, thời gian sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu. Yêu cầu dữ liệu của các hệ thống công nghệ thông tin quan trọng phải được sao lưu trong ngày.

2. Dữ liệu của các hệ thống công nghệ thông tin quan trọng phải được sao lưu ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương tiện lưu trữ khác) và cất giữ, bảo quản an toàn tách rời với khu vực tiến hành sao lưu. Kiểm tra, phục hồi dữ liệu sao lưu từ phương tiện lưu trữ ngoài tối thiểu sáu tháng một lần.

3. Các đơn vị có cả hệ thống công nghệ thông tin chính và dự phòng đặt ngoài lãnh thổ Việt Nam phải sao lưu hàng ngày đối với dữ liệu điện tử về các hoạt động giao dịch và lưu trữ tại Việt Nam. Đơn vị phải đảm bảo khả năng chuyển đổi dữ liệu gốc từ bản dữ liệu sao lưu. Kiểm tra, chuyển đổi dữ liệu sao lưu tối thiểu sáu tháng một lần.

1. Xây dựng quy định về quản lý an toàn, bảo mật mạng và quản lý các thiết bị đầu cuối của toàn bộ hệ thống mạng.

2. Hệ thống mạng phải được chia tách thành các vùng mạng khác nhau theo đối tượng sử dụng, mục đích sử dụng và hệ thống thông tin. Các vùng mạng quan trọng phải được lắp đặt các thiết bị tường lửa để kiểm soát an toàn bảo mật.

3. Lập, lưu trữ hồ sơ về sơ đồ logic và vật lý đối với hệ thống mạng máy tính, bao gồm cả mạng diện rộng (WAN/Intranet) và mạng cục bộ (LAN).

4. Trang bị các giải pháp an ninh mạng để kiểm soát, phát hiện và ngăn chặn kịp thời các kết nối, truy cập không được phép vào hệ thống mạng.

5. Thiết lập, cấu hình đầy đủ các tính năng của hệ thống an ninh mạng. Thực hiện các biện pháp, giải pháp để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng về mặt kỹ thuật của hệ thống mạng. Thường xuyên kiểm tra, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.

1. Ban hành quy định về trao đổi thông tin tối thiểu gồm: Phân loại thông tin theo mức độ nhạy cảm; quyền và trách nhiệm của cá nhân khi tiếp cận thông tin; biện pháp đảm bảo tính toàn vẹn, bảo mật khi truyền nhận, xử lý, lưu trữ thông tin; chế độ bảo quản thông tin.

2. Các thông tin, tài liệu, dữ liệu nhạy cảm phải được mã hóa trước khi trao đổi, truyền nhận qua mạng máy tính hoặc vật mang tin.

3. Thực hiện các biện pháp quản lý, giám sát và kiểm soát chặt chẽ các trang thông tin điện tử cung cấp thông tin, dịch vụ, giao dịch trực tuyến cho khách hàng.

4. Có văn bản thỏa thuận cho việc trao đổi thông tin với bên ngoài. Xác định trách nhiệm và nghĩa vụ pháp lý của các bên tham gia.

5. Thực hiện biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi thông tin nội bộ nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp các thông tin nhạy cảm.

1. Yêu cầu đối với hệ thống công nghệ thông tin phục vụ cho việc cung cấp dịch vụ giao dịch trực tuyến cho khách hàng:

2. Xác thực giao dịch của khách hàng phải được thực hiện trực tiếp tại hệ thống công nghệ thông tin của đơn vị.

3. Kiểm soát chặt chẽ việc truy cập vào hệ thống giao dịch trực tuyến từ bên trong mạng nội bộ.

4. Hệ thống dịch vụ giao dịch trực tuyến phải được giám sát chặt chẽ có khả năng phát hiện, cảnh báo về:

5. Thông tin nhạy cảm của khách hàng (mã PIN và mã khóa bí mật) phải được mã hóa ở lớp ứng dụng.

6. Khách hàng trước khi tham gia sử dụng dịch vụ giao dịch trực tuyến phải được cảnh báo rủi ro, hướng dẫn các biện pháp an toàn, bảo mật.

7. Không cung cấp phần mềm ứng dụng giao dịch trực tuyến trên Internet khi chưa áp dụng các biện pháp đảm bảo an toàn, bảo mật cho khách hàng.

1. Ghi và lưu trữ nhật ký về hoạt động của hệ thống công nghệ thông tin và người sử dụng, các lỗi phát sinh, các sự cố mất an toàn hệ thống công nghệ thông tin. Dữ liệu nhật ký phải được lưu trữ trực tuyến tối thiểu ba tháng và sao lưu tối thiểu một năm.

2. Thực hiện các biện pháp giám sát, phân tích nhật ký, cảnh báo rủi ro, xử lý và báo cáo kết quả.

3. Bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo và truy cập trái phép. Người quản trị hệ thống và người sử dụng không được xóa hay sửa đổi nhật ký hệ thống ghi lại các hoạt động của chính họ.

4. Thực hiện việc đồng bộ thời gian giữa các hệ thống công nghệ thông tin.

1. Xác định trách nhiệm của người sử dụng và các bộ phận liên quan trong công tác phòng chống mã độc.

2. Triển khai biện pháp, giải pháp phòng chống mã độc cho toàn bộ hệ thống công nghệ thông tin của đơn vị.

3. Cập nhật mẫu mã độc và phần mềm phòng chống mã độc mới.

4. Kiểm tra, diệt mã độc đối với vật mang tin nhận từ bên ngoài trước khi sử dụng.

5. Kiểm soát việc cài đặt phần mềm đảm bảo tuân thủ theo quy chế an toàn, bảo mật của đơn vị.

6. Kiểm soát thư điện tử lạ, các tệp tin đính kèm hoặc các liên kết trong các thư lạ.