Mục 7 Chương 2 Thông tư 31/2015/TT-NHNN Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành

1. Xây dựng các yêu cầu về an toàn, bảo mật đồng thời với việc đưa ra các yêu cầu kỹ thuật, nghiệp vụ.

2. Đánh giá mức độ đáp ứng các yêu cầu về an toàn, bảo mật sau khi hoàn thành xây dựng hoặc cải tiến hệ thống công nghệ thông tin. Kết quả đánh giá phải lập thành báo cáo và được thủ trưởng đơn vị phê duyệt trước khi đưa vào vận hành chính thức.

1. Kiểm tra tính hợp lệ của dữ liệu nhập vào các ứng dụng, đảm bảo dữ liệu được nhập vào chính xác và hợp lệ.

2. Kiểm tra tính hợp lệ của dữ liệu cần được xử lý tự động trong các ứng dụng nhằm phát hiện thông tin sai lệch do các lỗi trong quá trình xử lý hoặc các hành vi sửa đổi thông tin có chủ ý.

3. Có các biện pháp đảm bảo tính xác thực và bảo vệ sự toàn vẹn của dữ liệu được xử lý trong các ứng dụng.

4. Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng dụng, đảm bảo quá trình xử lý thông tin của các ứng dụng là chính xác và hợp lệ.

5. Mã khóa bí mật của người sử dụng trong các hệ thống công nghệ thông tin quan trọng phải được mã hóa ở lớp ứng dụng.

1. Quy định và đưa vào sử dụng các biện pháp mã hóa theo các chuẩn quốc gia hoặc quốc tế đã được công nhận, có biện pháp quản lý khóa để bảo vệ thông tin của đơn vị. Sử dụng các giải thuật mã hóa như:

2. Dữ liệu về mã khóa bí mật khách hàng, mã khóa bí mật người sử dụng và các dữ liệu nhạy cảm khác phải được mã hóa, bảo vệ khi truyền trên mạng và khi lưu trữ.

1. Đơn vị phải có quy định về:

2. Đơn vị phải xây dựng quy trình lựa chọn, quản lý và kiểm soát đối với dữ liệu kiểm tra, thử nghiệm. Không sử dụng dữ liệu thật của hệ thống công nghệ thông tin vận hành chính thức cho hoạt động kiểm thử khi chưa thực hiện các biện pháp che giấu hoặc thay đổi đối với dữ liệu nhạy cảm.

1. Khi thay đổi hệ điều hành phải kiểm tra và xem xét các ứng dụng nghiệp vụ quan trọng để đảm bảo hệ thống hoạt động ổn định, an toàn trên môi trường mới.

2. Việc sửa đổi các gói phần mềm phải được quản lý và kiểm soát chặt chẽ.

3. Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài.

1. Đơn vị phải thực hiện đánh giá an ninh bảo mật hệ thống công nghệ thông tin với các nội dung cơ bản sau:

2. Định kỳ thực hiện đánh giá an ninh bảo mật hệ thống công nghệ thông tin, tối thiểu như sau:

3. Kết quả đánh giá phải được lập thành văn bản báo cáo thủ trưởng đơn vị. Đối với các nội dung chưa tuân thủ quy định về an toàn bảo mật trong hoạt động công nghệ thông tin (nếu có) phải đề xuất biện pháp, kế hoạch, thời hạn xử lý, khắc phục.

1. Có quy định về việc đánh giá, quản lý và kiểm soát các điểm yếu về mặt kỹ thuật của các hệ thống công nghệ thông tin đang sử dụng.

2. Đơn vị phải chủ động phát hiện các điểm yếu về mặt kỹ thuật:

3. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện đối với hệ thống công nghệ thông tin đang sử dụng và đưa ra phương án xử lý.

4. Xây dựng, tổ chức triển khai các giải pháp xử lý, khắc phục và báo cáo kết quả xử lý.