Mục 9 Chương 2 Thông tư 31/2015/TT-NHNN Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành
Mục 9: ĐẢM BẢO HOẠT ĐỘNG LIÊN TỤC CỦA CÁC HỆ THỐNG CÔNG NGHỆ THÔNG TIN
Điều 42. Xây dựng hệ thống dự phòng thảm họa
1. Đơn vị phải xây dựng hệ thống dự phòng thảm họa cho các hệ thống công nghệ thông tin quan trọng đáp ứng các yêu cầu sau:
a) Địa điểm lắp đặt phải cách hệ thống chính tối thiểu 20 km tính theo đường thẳng nối giữa hai hệ thống và phải đáp ứng các yêu cầu quy định tại
b) Từng hệ thống dự phòng phải đảm bảo khả năng thay thế hệ thống chính trong thời gian tối đa bốn giờ đồng hồ tính từ thời điểm hệ thống chính có sự cố không khắc phục được.
2. Các đơn vị chỉ có hệ thống công nghệ thông tin tại một địa điểm duy nhất ở Việt Nam phải xây dựng hệ thống dự phòng thảm họa tại một địa điểm khác đáp ứng yêu cầu nêu tại Điểm a Khoản 1 Điều này.
3. Kế hoạch xây dựng hệ thống dự phòng thảm họa:
a) Đối với các tổ chức tín dụng, các chi nhánh ngân hàng nước ngoài phải hoàn thành trong thời gian sáu tháng kể từ ngày Thông tư này có hiệu lực;
b) Đối với các tổ chức cung ứng dịch vụ trung gian thanh toán phải hoàn thành trong thời gian mười hai tháng kể từ ngày Thông tư này có hiệu lực.
Điều 43. Xây dựng quy trình, kịch bản đảm bảo hoạt động liên tục
1. Xây dựng quy trình xử lý các tình huống mất an toàn, gián đoạn hoạt động của từng cấu phần trong hệ thống công nghệ thông tin quan trọng như máy chủ, thiết bị mạng, an ninh bảo mật, truyền thông.
2. Xây dựng kịch bản chuyển đổi hệ thống dự phòng thay thế cho hoạt động của hệ thống chính, bao gồm các nội dung cơ bản sau:
a) Nội dung công việc, trình tự thực hiện, dự kiến thời gian hoàn thành;
b) Bố trí và phân công trách nhiệm cho nhân sự tham gia với các vai trò: Chỉ đạo thực hiện, giám sát, thực hiện chuyển đổi, kiểm tra kết quả chuyển đổi và vận hành thử nghiệm;
c) Các nguồn lực, phương tiện và các yêu cầu cần thiết để thực hiện;
d) Biện pháp đảm bảo an toàn, bảo mật thông tin và hệ thống công nghệ thông tin;
đ) Các mẫu biểu ghi nhận kết quả.
3. Các đơn vị chỉ có hệ thống công nghệ thông tin tại một địa điểm duy nhất ở Việt Nam phải xây dựng kịch bản chuyển đổi hoạt động hệ thống công nghệ thông tin sang hệ thống dự phòng nêu tại
4. Kịch bản chuyển đổi phải được phổ biến tới tất cả các đối tượng tham gia để nắm rõ nội dung công việc cần thực hiện.
5. Quy trình, kịch bản chuyển đổi phải được kiểm tra và cập nhật khi có sự thay đổi của hệ thống công nghệ thông tin, cơ cấu tổ chức, nhân sự và phân công trách nhiệm của các bộ phận có liên quan trong đơn vị.
Điều 44. Tổ chức triển khai diễn tập đảm bảo hoạt động liên tục
1. Đơn vị phải có kế hoạch và tổ chức triển khai diễn tập đảm bảo hoạt động liên tục hệ thống công nghệ thông tin:
a) Tối thiểu ba tháng một lần, tiến hành kiểm tra, đánh giá hoạt động của hệ thống dự phòng;
b) Tối thiểu sáu tháng một lần, phải thực hiện diễn tập chuyển hoạt động của từng hệ thống từ hệ thống chính sang hệ thống dự phòng theo kịch bản đã xây dựng tại
2. Thông báo kế hoạch diễn tập cho Ngân hàng Nhà nước (Cục Công nghệ tin học) chậm nhất là 05 (năm) ngày làm việc trước khi chuyển hoạt động từ hệ thống chính sang hệ thống dự phòng (bao gồm cả các đơn vị không đặt hệ thống công nghệ thông tin chính và dự phòng tại Việt Nam).
Thông tư 31/2015/TT-NHNN Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành
- Số hiệu: 31/2015/TT-NHNN
- Loại văn bản: Thông tư
- Ngày ban hành: 28/12/2015
- Nơi ban hành: Quốc hội
- Người ký: Nguyễn Toàn Thắng
- Ngày công báo: 18/01/2016
- Số công báo: Từ số 79 đến số 80
- Ngày hiệu lực: 01/03/2016
- Tình trạng hiệu lực: Kiểm tra
- Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
- Điều 2. Giải thích từ ngữ
- Điều 3. Nguyên tắc chung
- Điều 4. Quy chế an toàn, bảo mật hệ thống công nghệ thông tin
- Điều 5. Quản lý tài sản công nghệ thông tin
- Điều 6. Quản lý tài sản vật lý
- Điều 7. Quản lý tài sản thông tin
- Điều 8. Quản lý tài sản phần mềm
- Điều 9. Quản lý sử dụng thiết bị di động
- Điều 10. Quản lý sử dụng vật mang tin
- Điều 11. Tuyển dụng hoặc phân công nhiệm vụ
- Điều 12. Quản lý sử dụng nguồn nhân lực
- Điều 13. Chấm dứt hoặc thay đổi công việc
- Điều 14. Yêu cầu chung đối với nơi lắp đặt trang thiết bị công nghệ thông tin
- Điều 15. Yêu cầu đối với trung tâm dữ liệu
- Điều 16. An toàn, bảo mật tài sản vật lý
- Điều 17. Trách nhiệm quản lý và quy trình vận hành của các đơn vị
- Điều 18. Lập kế hoạch và chấp nhận hệ thống công nghệ thông tin
- Điều 19. Sao lưu dự phòng
- Điều 20. Quản lý về an toàn, bảo mật mạng
- Điều 21. Trao đổi thông tin
- Điều 22. Quản lý dịch vụ giao dịch trực tuyến
- Điều 23. Giám sát và ghi nhật ký hoạt động của hệ thống công nghệ thông tin
- Điều 24. Phòng chống mã độc
- Điều 25. Yêu cầu nghiệp vụ đối với kiểm soát truy cập
- Điều 26. Quản lý truy cập mạng nội bộ
- Điều 27. Quản lý truy cập hệ điều hành
- Điều 28. Quản lý truy cập Internet
- Điều 29. Kiểm soát truy cập thông tin và ứng dụng
- Điều 30. Ký kết hợp đồng với bên thứ ba
- Điều 31. Trách nhiệm của đơn vị trong quản lý các dịch vụ do bên thứ ba cung cấp
- Điều 32. Trách nhiệm của bên thứ ba khi cung cấp dịch vụ công nghệ thông tin
- Điều 33. Yêu cầu về an toàn, bảo mật cho các hệ thống công nghệ thông tin
- Điều 34. Đảm bảo an toàn, bảo mật các ứng dụng
- Điều 35. Quản lý mã hóa
- Điều 36. An toàn, bảo mật đối với chương trình nguồn, dữ liệu kiểm thử và các tệp tin cấu hình hệ thống
- Điều 37. Quản lý sự thay đổi hệ thống công nghệ thông tin
- Điều 38. Đánh giá an ninh bảo mật hệ thống công nghệ thông tin
- Điều 39. Quản lý các điểm yếu về mặt kỹ thuật