Quyết định 04/2006/QĐ-NHNN của Ngân hàng Nhà nước về việc ban hành Quy chế an toàn, bảo mật hệ thống công nghệ thông tin trong ngành Ngân hàng
- Tóm tắt
- Nội dung
- VB gốc
- Tiếng Anh
- Hiệu lực
- VB liên quan
- Lược đồ
- Nội dung MIX
- Tổng hợp lại tất cả các quy định pháp luật còn hiệu lực áp dụng từ văn bản gốc và các văn bản sửa đổi, bổ sung, đính chính…
- Khách hàng chỉ cần xem Nội dung MIX, có thể nắm bắt toàn bộ quy định pháp luật hiện hành còn áp dụng, cho dù văn bản gốc đã qua nhiều lần chỉnh sửa, bổ sung.
- Tải về
Đây là tiện ích dành cho thành viên đăng ký phần mềm.
Quý khách vui lòng Đăng nhập tài khoản LuatVietnam và đăng ký sử dụng Phần mềm tra cứu văn bản.
Đây là tiện ích dành cho thành viên đăng ký phần mềm.
Quý khách vui lòng Đăng nhập tài khoản LuatVietnam và đăng ký sử dụng Phần mềm tra cứu văn bản.
thuộc tính Quyết định 04/2006/QĐ-NHNN
Cơ quan ban hành: | Ngân hàng Nhà nước Việt Nam | Số công báo: Số công báo là mã số ấn phẩm được đăng chính thức trên ấn phẩm thông tin của Nhà nước. Mã số này do Chính phủ thống nhất quản lý. | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Số công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây! |
Số hiệu: | 04/2006/QĐ-NHNN | Ngày đăng công báo: | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Ngày đăng công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây! |
Loại văn bản: | Quyết định | Người ký: | Phùng Khắc Kế |
Ngày ban hành: Ngày ban hành là ngày, tháng, năm văn bản được thông qua hoặc ký ban hành. | 18/01/2006 | Ngày hết hiệu lực: Ngày hết hiệu lực là ngày, tháng, năm văn bản chính thức không còn hiệu lực (áp dụng). | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Ngày hết hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây! |
Áp dụng: Ngày áp dụng là ngày, tháng, năm văn bản chính thức có hiệu lực (áp dụng). | Tình trạng hiệu lực: Cho biết trạng thái hiệu lực của văn bản đang tra cứu: Chưa áp dụng, Còn hiệu lực, Hết hiệu lực, Hết hiệu lực 1 phần; Đã sửa đổi, Đính chính hay Không còn phù hợp,... | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Tình trạng hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây! | |
Lĩnh vực: | Tài chính-Ngân hàng |
TÓM TẮT VĂN BẢN
An toàn, bảo mật ngành ngân hàng - Ngày 18/01/2006, Thống đốc Ngân hàng Nhà nước đã ban hành Quyết định số 04/2006/QĐ-NHNN ban hành Quy chế an toàn, bảo mật hệ thống công nghệ thông tin trong ngành Ngân hàng. Theo đó, việc quản lý, xác thực người sử dụng trên hệ thống CNTT được quy định như sau: mọi hệ thống CNTT phải quản lý, xác thực được người sử dụng truy nhập trên hệ thống đó, Các hoạt động nghiệp vụ giao dịch xử lý tập trung tức thời qua mạng máy tính phải tổ chức dựa trên hệ thống quản lý, xác thực người sử dụng tập trung, Các quy trình, chương trình, công cụ, thuật toán dùng cho thiết lập mã khoá, thiết bị định danh và cơ sở dữ liệu khoá dùng để kiểm tra truy nhập phải được quản lý, sử dụng theo chế độ "Mật". Định kỳ hàng tuần phải xem xét nhật ký truy nhập hệ thống, phát hiện và xử lý kịp thời những trường hợp truy nhập bất hợp pháp hoặc thao tác vượt quá giới hạn được giao của người sử dụng. Phần mềm quản lý mã khoá phải có các chức năng: thông báo người sử dụng thay đổi mã khóa sắp hết hạn sử dụng, huỷ hiệu lực của mã khoá hết hạn sử dụng, cho phép thay đổi ngay mã khóa bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng, ngăn chặn việc sử dụng lại mã khóa cũ trong một khoảng thời gian nhất định... Chỉ được sử dụng những kỹ thuật mã hoá đã được các tổ chức về an ninh CNTT có uy tín trong nước hoặc trên thế giới kiểm nghiệm, đánh giá đủ tin cậy. Độ phức tạp của thuật toán mã hoá lựa chọn phải phù hợp với cấp độ bảo mật của dữ liệu cần bảo vệ và khả năng xử lý của hệ thống CNTT... Quyết định này có hiệu lực sau 15 ngày, kể từ ngày đăng Công báo.
Xem chi tiết Quyết định 04/2006/QĐ-NHNN tại đây
tải Quyết định 04/2006/QĐ-NHNN
Nếu chưa có tài khoản, vui lòng Đăng ký tại đây!
QUYẾT ĐỊNH
CỦA THỐNG ĐỐC NGÂN HÀNG NHÀ
NƯỚC VIỆT
SỐ 04/2006/QĐ-NHNN NGÀY 18 THÁNG 01 NĂM 2006 BAN HÀNH
QUY CHẾ AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ
THÔNG TIN TRONG NGÀNH NGÂN HÀNG
THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC
Căn cứ Luật Ngân hàng Nhà
nước Việt
Căn cứ Luật Các tổ
chức tín dụng năm 1997; Luật sửa đổi,
bổ sung một số điều của Luật Các
tổ chức tín dụng năm 2004;
Căn cứ Pháp lệnh Bảo
vệ bí mật nhà nước số 03/2000/PL-UBTVQH10 ngày
Căn cứ Nghị định
số 33/2002/NĐ-CP ngày
Căn cứ Nghị định
số 52/2003/NĐ-CP ngày
Theo đề nghị của
Cục trưởng Cục Công nghệ tin học Ngân hàng,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết
định này "Quy chế an toàn, bảo mật hệ
thống công nghệ thông tin trong ngành Ngân hàng".
Điều 2. Quyết định này có
hiệu lực thi hành sau 15 ngày, kể từ ngày
đăng Công báo.
Điều 3. Chánh Văn phòng, Cục
trưởng Cục Công nghệ tin học Ngân hàng, Thủ
trưởng các đơn vị thuộc Ngân hàng Nhà
nước, Giám đốc Ngân hàng Nhà nước chi nhánh
tỉnh, thành phố trực thuộc Trung ương,
Chủ tịch Hội đồng quản trị, Tổng
giám đốc (Giám đốc) các tổ chức tín
dụng chịu trách nhiệm thi hành Quyết định
này.
THỐNG
ĐỐC
Phó thống
đốc
Phùng Khắc
Kế
QUY CHẾ AN TOÀN, BẢO MẬT HỆ THỐNG
CÔNG NGHỆ THÔNG TIN TRONG NGÀNH NGÂN HÀNG
(Ban
hành kèm theo Quyết định số 04/2006/QĐ-NHNN
ngày18/01/2006
của Thống đốc Ngân hàng Nhà nước)
CHƯƠNG I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
Quy chế này
quy định các yêu cầu đối với người
sử dụng và các tiêu thức kỹ thuật an toàn cơ
bản của hệ thống công nghệ thông tin Ngân hàng
Nhà nước và các Tổ chức tín dụng không bao
gồm các Quỹ tín dụng nhân dân cơ sở (sau đây
gọi chung là đơn vị), nhằm thống nhất
quản lý việc ứng dụng công nghệ thông tin vào các
hoạt động ngân hàng an toàn và hiệu quả.
Điều 2. Giải thích từ ngữ
1. Hệ
thống công nghệ thông tin (CNTT): là một tập hợp
có cấu trúc các trang thiết bị phần cứng,
phần mềm, cơ sở dữ liệu và hệ
thống mạng phục vụ cho một hoặc nhiều
hoạt động kỹ thuật, nghiệp vụ.
2. Bức
tường lửa: là tập hợp các thành phần
hoặc một hệ thống các trang thiết bị,
phần mềm được đặt giữa hai
mạng, nhằm kiểm soát tất cả các kết
nối từ bên trong ra bên ngoài mạng hoặc
ngược lại.
3. Tính toàn
vẹn dữ liệu: là trạng thái tồn tại
của dữ liệu giống như khi ở trong các tài
liệu ban đầu và không bị thay đổi về
dữ liệu, cấu trúc hay mất mát dữ liệu.
4. Quản lý
cấu hình: là quản lý các thay đổi về phần
cứng, phần mềm, tài liệu kỹ thuật,
phương tiện kiểm tra, giao diện kết
nối, qui trình kỹ thuật hoạt động, cấu
hình cài đặt và tất cả các thay đổi khác
của hệ thống CNTT xuyên suốt quá trình từ khi cài
đặt đến vận hành.
5. Lưu
trữ: là tạo bản sao của một phần mềm
hoặc dữ liệu nhằm mục đích bảo
vệ chống lại mất mát, hư hỏng của
phần mềm, dữ liệu nguyên bản.
6. Virus: là
chương trình máy tính có thể tự nhân bản, lan
truyền trên mạng máy tính hoặc qua các thiết bị
mang tin, có khả năng phá hủy dữ liệu hoặc
thực hiện các chức năng không mong muốn
đối với hệ thống CNTT.
7. Cấp
quyền: là sự cấp phép được gán cho một
cá nhân tuân theo quy cách tổ chức đã được
hình thành trước để truy nhập, sử dụng
một chương trình hoặc một tiến trình
của hệ thống CNTT.
8. Mã khoá: là
một chuỗi ký tự hoặc một cách thức xác
nhận định danh bảo mật được
sử dụng để chứng thực quyền của
người sử dụng.
9. Hệ
thống an ninh mạng: là tập hợp các thiết bị
tường lửa; thiết bị kiểm soát, phát
hiện truy cập bất hợp pháp; phần mềm
quản trị, theo dõi, ghi nhật ký trạng thái an ninh
mạng và các trang thiết bị khác có chức năng
đảm bảo an toàn hoạt động của
mạng, tất cả cùng hoạt động đồng
bộ theo một chính sách an ninh mạng nhất quán
nhằm kiểm soát chặt chẽ tất cả các
hoạt động trên mạng.
10. Kịch
bản: là một tập hợp những yêu cầu,
thủ tục, tình huống, dữ liệu và kết
quả thực hiện được xác định trước,
sử dụng cho quá trình kiểm tra, cài đặt, bảo hành, bảo trì các trang
thiết bị, phần mềm, cơ sở dữ
liệu CNTT.
Điều 3. Trách nhiệm của đơn
vị
1. Ban hành các
chính sách an toàn, bảo mật hệ thống CNTT (gọi
chung là chính sách an ninh CNTT),
tổ chức thực hiện và kiểm tra việc
thực hiện những chính sách đó. Thường xuyên
cập nhật chính sách an ninh CNTT phù hợp với
những thay đổi hệ thống CNTT của
đơn vị, môi trường vận hành và những
tiến bộ khoa học kỹ thuật về lĩnh
vực an ninh CNTT.
2. Bố trí các
nguồn lực cần thiết để thực hiện
việc trang bị, triển khai, vận hành, quản lý,
giám sát và xử lý các sự cố trong hoạt động
ứng dụng CNTT, đảm bảo các hệ thống
CNTT hoạt động an toàn, bảo mật phù hợp
với yêu cầu hoạt động nghiệp vụ và
chiến lược an ninh CNTT của đơn vị.
Tiến hành các biện pháp phòng ngừa, phát hiện và
xử lý kịp thời các gian lận, lỗi, mất
ổn định và những yếu tố bất thường,
mất an toàn khác.
3. Tổ
chức bộ phận quản lý an ninh CNTT thích hợp
nhằm thống nhất quản lý, triển khai các
hoạt động về an ninh CNTT từ khâu lập
kế hoạch, thiết kế, triển khai cài đặt
đến vận hành hệ thống CNTT, phù hợp
với các quy định tại văn bản này. Tuyển
chọn, đào tạo người quản trị hệ
thống CNTT đảm bảo các tiêu chuẩn: có
đạo đức nghề nghiệp, có kiến thức
về an ninh CNTT, và được trang bị các kiến
thức liên quan tới hoạt động nghiệp vụ
và hệ thống CNTT của đơn vị. Quyết
định phân công nhiệm vụ quản trị hệ
thống CNTT phải được thể hiện
bằng văn bản.
4. Đảm
bảo hệ thống CNTT sẵn sàng ở mức
độ cao; xây dựng, thử nghiệm các kế
hoạch dự phòng và khôi phục hệ thống khi có
sự cố hoặc thảm họa.
5. Đánh giá
về năng lực, tính khả thi, rủi ro liên quan
đến các hoạt động CNTT do các đối tác
bên ngoài cung cấp; xây dựng các thoả thuận
để xác định rõ mối quan hệ, nghĩa
vụ và trách nhiệm của các bên tham gia cung cấp
dịch vụ CNTT như: mức độ cung cấp
dịch vụ, dự kiến kết quả vận hành,
khả năng thực thi, khả năng mở rộng,
mức độ tuân thủ, kế hoạch dự phòng,
mức độ dự phòng, an toàn bảo mật, đình
chỉ dịch vụ, kiểm soát các nghĩa vụ thực hiện hợp
đồng và mối quan hệ với các hệ thống
CNTT liên quan.
6. Thường
xuyên tổ chức các khoá đào tạo cập nhật
kiến thức về an ninh CNTT cho người sử
dụng phù hợp với nhiệm vụ mà người
đó đảm nhiệm.
7. Các trang
thiết bị, phần mềm, cơ sở dữ
liệu sử dụng trong hoạt động nghiệp
vụ phải có bản quyền sử dụng theo quy
định của pháp luật.
Điều 4. Các yêu cầu an ninh thông tin
1. Tính bí
mật: thông tin không thể bị tiếp cận bởi
những người không có thẩm quyền.
2. Tính nguyên
vẹn: thông tin không thể bị sửa đổi, xóa
hoặc bổ sung bởi những người không có
thẩm quyền.
3. Tính sẵn
sàng: thông tin luôn sẵn sàng đáp ứng nhu cầu sử
dụng của người có thẩm quyền.
4. Tính không
thể phủ nhận: người khởi tạo thông tin
không thể phủ nhận trách nhiệm đối với
thông tin do mình tạo ra.
5. Tính xác
thực: xác định được nguồn gốc
của thông tin.
Điều 5. Xác định yêu cầu an ninh
của hệ thống CNTT
Việc xếp
loại yêu cầu, mức độ đầu tư cho an
ninh hệ thống CNTT của đơn vị phải
được xác định rõ dựa trên các yếu tố
sau:
1. Vai trò của
hệ thống CNTT trong việc thực hiện các mục
tiêu của đơn vị.
2. Nguồn
gốc, nguy cơ xẩy ra các rủi ro đối với
hệ thống CNTT.
3. Khả
năng khắc phục khi có rủi ro.
4. Mức
độ rủi ro có thể chấp nhận
được.
5. Ảnh
hưởng của rủi ro nếu xảy ra đối
với hoạt động của đơn vị nói riêng
và hoạt động chung của ngành Ngân hàng.
Điều 6. Các hành vi bị nghiêm cấm
1. Không tuân
thủ các quy định về an ninh hệ thống CNTT
của Nhà nước, của Ngành và của đơn
vị.
2. Truy cập,
cung cấp, phát tán thông tin bất hợp pháp.
3. Tiết
lộ kiến trúc hệ thống, thuật toán của
hệ thống an ninh CNTT.
4. Sửa
đổi trái phép kiến trúc, cơ chế hoạt
động của hệ thống CNTT.
5. Sử
dụng các trang thiết bị CNTT của đơn vị
phục vụ cho mục đích cá nhân.
6. Các hành vi khác
làm cản trở, phá hoại hoạt động của hệ
thống CNTT.
CHƯƠNG II
QUY ĐỊNH CỤ THỂ
Điều 7.
Quản lý, xác thực người sử dụng trên
hệ thống CNTT
1. Mọi
hệ thống CNTT phải quản lý, xác thực
được người sử dụng truy nhập trên
hệ thống đó.
2. Các hoạt
động nghiệp vụ giao dịch xử lý tập
trung tức thời qua mạng máy tính phải tổ
chức dựa trên hệ thống quản lý, xác thực
người sử dụng tập trung.
3. Các quy trình,
chương trình, công cụ, thuật toán dùng cho thiết
lập mã khoá, thiết bị định danh và cơ
sở dữ liệu khoá dùng để kiểm tra truy
nhập phải được quản lý, sử dụng
theo chế độ "Mật".
4. Yêu cầu
tổ chức hệ thống xác thực:
a) Có quy trình
quản lý và xác thực người sử dụng cho
từng hệ thống CNTT phù hợp với yêu cầu an
toàn, bảo mật của nghiệp vụ xử lý trên
đó;
b) Xác thực
quyền truy nhập của người sử dụng
bằng tài khoản, bằng phương tiện
định danh hoặc kết hợp của cả hai và
chỉ cấp cho người sử dụng đủ
quyền hạn để thực thi nhiệm vụ mà
người đó được phân công;
c) Mã khóa, dữ
liệu định danh dùng cho việc xác thực truy
nhập phải được bảo mật trong quá trình
lưu trữ, truyền qua mạng và hiển thị trên
màn hình của người sử dụng;
d) Môi
trường nơi đặt trang thiết bị xác
thực phải đảm bảo bí mật, an toàn cho
sử dụng mã khoá, phương tiện định danh;
đ) Kiểm
tra và loại bỏ kịp thời những người
sử dụng không còn thẩm quyền làm việc trên
hệ thống CNTT;
e) Đình
chỉ tạm thời quyền làm việc của
người sử dụng đã được
đăng ký trên hệ thống CNTT, nhưng tạm
thời không làm việc trên hệ thống đó trong
thời gian từ 60 ngày trở lên;
g) Định
kỳ hàng tuần, xem xét nhật ký truy nhập hệ
thống, phát hiện và xử lý kịp thời những
trường hợp truy nhập bất hợp pháp hoặc
thao tác vượt quá giới hạn được giao
của người sử dụng.
Điều 8. Các phương pháp xác thực
1. Xác thực
dùng định danh (ID) và mã khóa (password) phải đáp
ứng các yêu cầu sau:
a) Mã khoá
phải có độ dài từ sáu ký tự trở lên,
cấu tạo gồm các kí tự số, chữ và các ký
tự đặc biệt khác nếu hệ thống cho
phép. Các yêu cầu mã khoá hợp lệ phải
được kiểm tra tự động khi thiết
lập mã khoá;
b) Các mã khoá
mặc định của nhà sản xuất cài đặt
sẵn trên các trang thiết bị, phần mềm, cơ
sở dữ liệu phải được thay
đổi ngay khi đưa vào sử dụng;
c) Phần
mềm quản lý mã khoá phải có các chức năng: thông
báo người sử dụng thay đổi mã khóa sắp
hết hạn sử dụng; huỷ hiệu lực
của mã khoá hết hạn sử dụng; cho phép thay
đổi ngay mã khóa bị lộ, có nguy cơ bị
lộ hoặc theo yêu cầu của người sử
dụng; ngăn chặn việc sử dụng lại mã
khóa cũ trong một khoảng thời gian nhất
định.
2. Xác thực
dùng thẻ phải quy định rõ trách nhiệm của
các bên phát hành và sử dụng thẻ.
3. Xác thực
dùng phương pháp sinh trắc học phải đảm
bảo an toàn cho người sử dụng trong quy trình thu
thập các yếu tố sinh trắc học.
4. Xác thực
dùng hạ tầng khóa công khai (PKI) phải thực hiện
các yêu cầu sau:
a) Kiểm tra
các đối tượng xin cấp chứng chỉ
số và cặp khoá hợp pháp, hợp lệ;
b) Kiểm tra
tính hợp lệ của chứng chỉ số
trước khi xem xét, chấp nhận các giao dịch dùng
chứng chỉ số;
c) Kiểm soát,
cập nhật kịp thời vào cơ sở dữ
liệu các chứng chỉ số bị huỷ bỏ
để tránh bị lợi dụng;
d) Có các biện
pháp bảo vệ an toàn khóa gốc (root key) và các trang
thiết bị của hệ thống chứng chỉ
số;
đ) Ghi
nhật ký toàn bộ quá trình cấp phát, thay đổi,
huỷ chứng chỉ số và cặp khoá;
e) Thường
xuyên xem xét các sự kiện bất thường của
hệ thống chứng chỉ số phát hiện kịp
thời những thay đổi và truy cập bất
hợp pháp.
Điều 9. Kiểm soát truy nhập hệ
thống CNTT
1. Mọi
hệ thống CNTT đều phải được
thiết lập chức năng kiểm soát truy nhập,
cảnh báo, ngăn chặn người sử dụng truy
nhập bất hợp pháp hoặc sử dụng sai
chức năng, quyền hạn trên hệ thống.
2. Hệ
thống kiểm soát truy nhập phải có các chức
năng sau:
a) Tự
động đình chỉ việc truy nhập hệ
thống của người sử dụng nếu trong
một khoảng thời gian định sẵn đã
thực hiện ba lần truy nhập liên tiếp không
hợp lệ vào hệ thống. Tất cả các truy
cập không thành công phải được hệ thống
ghi nhật ký tự động;
b) Quản lý,
xác nhận việc kết nối của các thiết
bị đầu cuối cũng như chấp thuận
cho các thiết bị đầu cuối được
thực hiện kết nối;
c) Không cho phép
người sử dụng trừ người quản
trị hệ thống truy nhập đồng thời vào
nhiều thiết bị đầu cuối tại một
thời điểm;
d) Thiết
bị đầu cuối cài đặt tự động
chuyển sang chế độ không hoạt động,
chế độ khoá màn hình có mã khóa hoặc tự
động thoát khỏi hệ thống sau một
khoảng thời gian không sử dụng.
Điều 10. Mã hoá dữ liệu
1. Các loại
dữ liệu quan trọng, nhạy cảm truyền
dẫn trên mạng máy tính phải được mã hoá.
2. Chỉ
được sử dụng những kỹ thuật mã
hoá đã được các tổ chức về an ninh CNTT
có uy tín trong nước hoặc trên thế giới kiểm
nghiệm, đánh giá đủ tin cậy. Độ
phức tạp của thuật toán mã hoá lựa chọn
phải phù hợp với cấp độ bảo mật
của dữ liệu cần bảo vệ và khả
năng xử lý của hệ thống CNTT.
3. Các yếu
tố bí mật dùng cho kỹ thuật mã hoá phải
được cài đặt độc lập với nhà
cung cấp và thay đổi theo định kỳ ít
nhất một năm một lần.
4. Các trang
thiết bị, phần mềm sử dụng cho giải
pháp mã hoá phải được lưu trữ đồng
thời với dữ liệu mã hoá; hoặc phải
chuyển đổi dữ liệu mã hoá sang dạng
mới khi có thay đổi về phương thức mã
hoá để đảm bảo khôi phục dữ liệu
nguyên bản từ dữ liệu dạng mã hoá tại
mọi thời điểm.
5. Giải pháp
mã hóa đang sử dụng phải được
thường xuyên kiểm tra, đánh giá lại mức
độ an toàn và xử lý kịp thời những yếu
điểm nếu có.
Điều 11. Ghi nhật ký giám sát hoạt
động
1. Các hệ
thống CNTT phải có chức năng ghi nhật ký giám sát
các hoạt động trên hệ thống đó.
Đồng hồ của các trang thiết bị trên cùng
một hệ thống CNTT phải được
đồng bộ từ cùng một nguồn để
đảm bảo tính chính xác của nhật ký giám sát.
2. Các truy
nhập và các thao tác làm ảnh hưởng đến
hoạt động của hệ thống phải
được ghi nhật ký. File nhật ký phải
được bảo vệ chống lại mọi
sự thay đổi.
3. Thủ
trưởng đơn vị quy định chế
độ ghi nhật ký, thời gian lưu trữ file
nhật ký cho từng hệ thống CNTT, nhằm
đảm bảo giám sát được các hoạt
động trên hệ thống và phục vụ công tác
kiểm toán.
4. Người
quản trị hệ thống có trách nhiệm
thường xuyên xem xét các file nhật ký của hệ
thống nhằm phát hiện, xử lý và ngăn chặn
kịp thời các sự cố gây mất an toàn, ổn
định của hệ thống CNTT.
Điều 12. An toàn vật lý
1. Phòng máy
chủ và các khu vực đặt, sử dụng các trang
thiết bị CNTT phải có nội quy và áp dụng các
biện pháp bảo vệ, kiểm soát ra vào, đảm
bảo chỉ những người có nhiệm vụ
mới được vào những khu vực đó.
2. Những công
việc tiến hành trong phòng máy chủ phải
được ghi sổ nhật ký làm việc hàng ngày.
3. Phòng máy tính
phải đảm bảo vệ sinh công nghiệp: không
dột, không thấm nước; các trang thiết bị
lắp đặt trên sàn kỹ thuật, không bị ánh
nắng chiếu rọi trực tiếp; độ ẩm, nhiệt
độ đạt tiêu chuẩn quy định cho các
thiết bị và máy chủ; trang bị đầy
đủ thiết bị phòng chống cháy, nổ, lũ
lụt, hệ thống chống sét và hệ thống an ninh
chống truy nhập bất hợp pháp.
4. Các trang
thiết bị dùng cho hoạt động nghiệp vụ
lắp đặt bên ngoài trụ sở của đơn
vị phải có biện pháp giám sát, bảo vệ an toàn phòng
chống truy nhập bất hợp pháp và quản lý
việc sử dụng các trang thiết bị đó.
5. Người
sử dụng phải thoát khỏi hệ thống (logout)
ngay khi rời khỏi vị trí làm việc.
6. Chương
trình, số liệu của đơn vị có khả
năng bị lợi dụng phải được
loại bỏ khi giao các trang thiết bị có chứa các
chương trình, dữ liệu đó cho đơn vị
bên ngoài hoặc khi thanh lý tài sản.
7. Nguồn
điện cho hệ thống CNTT:
a) Phòng máy
chủ phải được trang bị nguồn
điện riêng với các tiêu chuẩn kỹ thuật công
nghiệp phù hợp với các trang thiết bị lắp
đặt trong phòng máy;
b) Nguồn
điện dự phòng phải đủ tiêu chuẩn, công
suất cho hoạt động bình thường của
hệ thống CNTT trong
thời gian nguồn điện chính có sự cố.
Điều 13. An toàn mạng máy tính
1. Tài liệu
kỹ thuật và vận hành hệ thống mạng máy tính
phải gồm các loại như sau:
a) Hồ sơ
khảo sát, thiết kế và thuyết minh kỹ thuật
của mạng;
b) Tài liệu
tự kiểm tra, đánh giá của đơn vị
hoặc do cơ quan chuyên môn của Nhà nước xác
định thiết kế của mạng đủ tiêu
chuẩn an toàn cho vận hành;
c) Quy trình
quản lý và vận hành mạng.
2. Yêu cầu an
ninh mạng máy tính:
a) Kiểm soát,
giám sát được các truy nhập mạng;
b) Ngăn
chặn được các truy cập trái phép;
c) Ghi nhật ký
truy nhập mạng;
d) Có quy trình
xử lý sự cố và phòng ngừa thảm hoạ;
đ) Có các
biện pháp kỹ thuật, hành chính ngăn chặn
việc tiếp cận trái phép các trang thiết bị,
đường truyền mạng.
3. Trách nhiệm
người sử dụng mạng:
a) Phải
đăng ký và được chấp thuận sử
dụng trước khi truy nhập vào mạng;
b) Khi phát
hiện thấy dấu hiệu mất an toàn, phải thông
báo ngay cho người quản trị mạng xử lý;
c) Cập
nhật phiên bản phần mềm chống virus mới và
thường xuyên quét virus trên máy tính kết nối vào
mạng. Không tự ý thay đổi, gỡ bỏ các
chương trình, thông số kỹ thuật mà người
quản trị mạng đã cài đặt;
d) Không sử
dụng máy tính xử lý nghiệp vụ để kết
nối Internet nếu chưa được bộ phận
quản lý CNTT của đơn vị xác định đã
đủ các điều kiện bảo vệ an toàn;
đ) Chấp
hành các quy định khác của đơn vị phù
hợp với các quy định tại Quy chế này.
4. Trách nhiệm
người quản trị mạng:
a) Kiểm tra,
đảm bảo mạng máy tính hoạt động liên
tục, ổn định và an toàn;
b) Quản lý
cấu hình mạng, tài nguyên và người sử dụng
trên mạng;
c) Thiết
lập đầy đủ các chế độ kiểm
soát an ninh mạng. Sử dụng các công cụ
được trang bị, dò tìm và phát hiện kịp
thời các điểm yếu, dễ bị tổn
thương và các truy nhập bất hợp pháp vào hệ
thống mạng. Thường xuyên xem xét, phát hiện
những kết nối, trang thiết bị, phần
mềm cài đặt bất hợp pháp vào mạng.
d) Phát hiện
và xử lý kịp thời những lỗ hổng về an
ninh của hệ thống mạng;
đ)
Hướng dẫn, hỗ trợ người sử
dụng bảo vệ tài khoản, tài nguyên trên mạng, cài
đặt phần mềm chống virus và giải quyết
kịp thời những sự cố truy nhập mạng;
e) Kiểm tra và
ngắt kết nối ra khỏi mạng những máy tính
của người sử dụng không tuân thủ các quy
định của đơn vị về phòng, chống
virus và các quy định khác về an ninh mạng.
Điều 14. An toàn cơ sở dữ liệu
(CSDL):
1. Hệ
quản trị CSDL sử dụng cho các hoạt
động nghiệp vụ phải đáp ứng
được yêu cầu sau:
a) Vận hành
trên mạng và độc lập với máy chủ, hệ
điều hành;
b) Hoạt
động ổn định; xử lý, lưu trữ
được khối lượng dữ liệu lớn
theo yêu cầu nghiệp vụ;
c) Bảo
vệ và phân quyền truy nhập đối với các tài
nguyên CSDL;
d) Quản lý,
đảm bảo tính nhất quán của các bảng dữ
liệu quan hệ và của từng tác vụ xử lý trên
CSDL;
đ) Có tích
hợp công cụ ngôn ngữ truy vấn có cấu trúc (SQL);
e) Hỗ
trợ lưu trữ CSDL trực tuyến và khôi phục
CSDL từ phiên bản lưu;
g) Có khả
năng nâng cấp phiên bản mới.
2. Chỉ
sử dụng các CSDL đã được kiểm
nghiệm qua thực tế hoạt động nghiệp
vụ của các tổ chức tương tự trong
hoặc ngoài nước.
3. Trách nhiệm
của người quản trị CSDL:
a) Duy trì hệ
CSDL hoạt động liên tục, ổn định và an
toàn;
b) Thay
đổi các mã khoá mặc định ngay khi đưa
CSDL vào sử dụng;
c) Phân quyền
sử dụng tài nguyên cho người sử dụng CSDL;
d) Lập
kế hoạch, thực hiện lưu trữ dữ
liệu và kiểm tra kết quả lưu trữ;
đ) Kiểm
tra, đảm bảo khôi phục được hoàn toàn
CSDL từ bản lưu trữ khi cần thiết;
e) Quản lý
chặt chẽ các bản lưu trữ, tránh nguy cơ
mất mát, bị thay đổi và khai thác bất hợp
pháp;
g) Thường
xuyên kiểm tra tình trạng của CSDL cả về
mặt vật lý và logic. Cập nhật kịp thời các
bản vá lỗi từ nhà cung cấp.
Điều 15. An toàn phần mềm ứng
dụng
1. Yêu cầu
chung:
a) Tài liệu
kỹ thuật:
- Tài liệu
đối với phần mềm do đơn vị
tự phát triển gồm: yêu cầu người sử
dụng, phân tích thiết kế hệ thống, quá trình phát
triển, thử nghiệm, triển khai, quản lý phiên
bản và hướng dẫn vận hành;
- Tài liệu kèm
theo phần mềm đóng gói do bên ngoài cung cấp gồm:
tài liệu kỹ thuật và tài liệu hướng
dẫn sử dụng phần mềm.
b) Phần
mềm phải tích hợp các giải pháp xác thực,
kiểm soát truy nhập và mã hoá dữ liệu theo các quy định tại các
Điều 8, Điều 9 và Điều 10 của Quy
chế này;
c) Phần
mềm phải vận hành ổn định, xử lý chính
xác và đảm bảo tính nhất quán của dữ
liệu;
d) Các phần
mềm nghiệp vụ và tài liệu kỹ thuật
phải được nhân bản và lưu giữ an toàn
tối thiểu tại hai địa điểm tách
biệt.
2. Phân tích,
thiết kế và viết phần mềm:
a) Các yêu cầu
an toàn, bảo mật của nghiệp vụ phải
được xác định trước và tổ
chức, triển khai vào toàn bộ chu trình phát triển
phần mềm từ khâu phân tích thiết kế
đến triển khai vận hành;
b) Các tài
liệu về an toàn, bảo mật của phần mềm
phải được hệ thống hoá và lưu trữ,
sử dụng theo chế độ "Mật".
3. Kiểm tra,
thử nghiệm phần mềm:
Mọi phần
mềm triển khai vào thực tế phải qua các
bước kiểm tra, thử nghiệm sau:
a) Lập và phê
duyệt kế hoạch, kịch bản thử nghiệm.
Việc thử nghiệm phải đảm bảo không
ảnh hưởng đến hoạt động bình thường
của nghiệp vụ và các hệ thống CNTT khác;
b) Tiến hành
thử nghiệm trên môi trường riêng biệt. Lập
báo cáo kết quả thử nghiệm trình cấp có
thẩm quyền phê duyệt đưa vào sử dụng;
c) Việc
sử dụng dữ liệu thật trong quá trình thử
nghiệm phải có biện pháp phòng ngừa tránh bị
lợi dụng hoặc gây nhầm lẫn.
4. Triển khai,
vận hành phần mềm:
a) Việc
triển khai phần mềm không được ảnh
hưởng đến an toàn, bảo mật của các
hệ thống CNTT đã có;
b) Trước
khi triển khai phần mềm, phải đánh giá những
rủi ro của quá trình triển khai đối với
hoạt động nghiệp vụ, các hệ thống CNTT
liên quan và lập, triển khai các phương án hạn
chế, khắc phục rủi ro.
5. Quản lý
phiên bản phần mềm:
a) Đối
với mỗi yêu cầu thay đổi phần mềm,
phải phân tích đánh giá ảnh hưởng của
việc thay đổi đối với nghiệp vụ
và các hệ thống CNTT có liên quan khác của đơn
vị;
b) Các phiên
bản phần mềm sau khi thử nghiệm thành công
phải được quản lý chặt chẽ, tránh
bị sửa đổi bất hợp pháp và sẵn sàng
cho việc triển khai;
c) Đi kèm
với phiên bản phần mềm mới phải có các
chỉ dẫn rõ ràng về nội dung thay đổi,
hướng dẫn cập nhật phần mềm và các
thông tin liên quan khác;
d) Chỉ
được triển khai vào hoạt động
nghiệp vụ phiên bản phần mềm đã
được thủ trưởng đơn vị phê
duyệt cho triển khai.
6. Quản lý mã
nguồn phần mềm:
a) Mã nguồn
phần mềm phải được quản lý chặt
chẽ để tránh bị sử dụng hoặc sửa
đổi trái phép;
b) Phải có các
thoả thuận về việc quản lý, chỉnh sửa
mã nguồn dùng cho bảo trì trong trường hợp
những phần mềm đó do đối tác bên ngoài phát
triển và không bàn giao mã nguồn.
7. Tuân thủ
các quy định khác về an toàn, bảo mật
được quy định tại Quyết định
số 1630/2003/QĐ-NHNN ngày 19/12/2003 của Thống
đốc Ngân hàng Nhà nước Việt Nam ban hành quy
định về tiêu chuẩn kỹ thuật trong gia công
mua sắm phần mềm nghiệp vụ Ngân hàng.
Điều 16. An toàn hệ điều hành
của máy chủ
1. Hệ
điều hành được lựa chọn phải
đáp ứng các yêu cầu sau:
a) Vận hành an
toàn, ổn định;
b) Có tính sẵn
sàng cao;
c) Quản lý
người sử dụng, bảo vệ và phân quyền
truy nhập tài nguyên;
d) Ghi nhật ký
hoạt động của hệ thống;
đ) Cập
nhập phiên bản mới;
e) Kiểm tra,
khôi phục hệ thống khi sự cố.
2. Chỉ
sử dụng hệ điều hành đã được
kiểm nghiệm qua thực tế hoạt động
nghiệp vụ của các tổ chức tương
tự trong hoặc ngoài nước.
3. Trách nhiệm
của người quản trị hệ điều hành:
a) Đảm
bảo cho hệ điều hành cài đặt trên máy
chủ hoạt động liên tục, ổn định
và an toàn;
b) Thường
xuyên kiểm tra cấu hình, các file nhật ký hoạt
động của hệ điều hành, kịp thời
phát hiện và xử lý những sự cố nếu có;
c) Cấp
quyền và quản lý truy nhập của người
sử dụng trên máy chủ cài đặt hệ
điều hành;
d) Quản lý các
thay đổi cấu hình kỹ thuật của hệ
điều hành;
đ)
Thường xuyên cập nhật các bản vá lỗi
hệ điều hành từ nhà cung cấp;
e) Loại
bỏ các dịch vụ của hệ điều hành không
cần thiết hoặc không còn nhu cầu sử dụng.
Điều 17. Phòng, chống virus máy tính
1. Đơn
vị phải triển khai phòng chống virus cho toàn bộ
các hệ thống CNTT của mình. Theo dõi và thông báo kịp
thời cho người sử dụng các loại virus
mới và cách phòng chống.
2. Trách nhiệm
phòng, chống virus của người sử dụng:
a) Thường
xuyên kiểm tra và diệt virus ;
b) Phần
mềm, dữ liệu và các phương tiện mang tin
nhận từ bên ngoài phải được kiểm tra
virus trước khi sử dụng;
c) Không mở
các thư lạ, các tệp tin đính kèm hoặc các liên
kết trong các thư lạ để tránh virus;
d) Không vào các
trang web không có nguồn gốc xuất xứ rõ ràng;
đ) Cập
nhật kịp thời các mẫu virus và các phần
mềm chống virus mới;
e) Trường
hợp phát hiện nhưng không diệt được
virus, phải báo ngay cho người quản trị hệ
thống xử lý.
Điều 18. Kết nối, trao đổi
dữ liệu với đơn vị bên ngoài
1. Việc
kết nối với bên ngoài phải thực hiện theo
nguyên tắc không được ảnh hưởng
đến an ninh và hoạt động bình thường
hệ thống mạng của đơn vị.
2. Hệ
thống mạng nội bộ đơn vị phải
tách biệt về vật lý hoặc logic với mạng
kết nối bên ngoài.
3. Việc
kết nối, trao đổi dữ liệu với bên
ngoài phải được quy định cụ thể
về tiêu chuẩn kết nối, dịch vụ
được sử dụng, quyền truy cập, quy cách
dữ liệu và quy trình trao đổi.
4. Các
bước triển khai kết nối:
a) Khảo sát,
thiết kế cấu hình hệ thống, phương
thức kết nối và dịch vụ sử dụng trên
mạng;
b) Phân tích
những ảnh hưởng, nguy cơ mất an toàn và
lựa chọn giải pháp an ninh phù hợp, phòng chống
truy nhập trái phép;
c) Trình thủ
trưởng đơn vị phê duyệt phương án
kết nối, cách thức trao đổi dữ liệu;
d) Lắp
đặt, kiểm tra, thử nghiệm đạt yêu
cầu và đưa vào vận hành chính thức;
đ) Triển
khai các biện pháp phòng chống xâm nhập bất hợp
pháp từ bên ngoài.
Điều 19. Kết nối Internet
1. Các đơn
vị phải ban hành các quy định nội bộ
về quản lý và sử dụng Internet, đảm
bảo việc sử dụng Internet an toàn, hiệu quả
và tuân thủ đúng các quy định của Pháp luật.
2. Các máy tính dùng
cho kết nối Internet phải được dán nhãn thông
báo để dễ nhận biết; và không được
kết nối trực tiếp với mạng xử lý
nghiệp vụ nếu chưa được bộ
phận quản lý CNTT của đơn vị xác
định đã đủ các điều kiện bảo
vệ an toàn. Không lưu trữ trên máy tính kết nối
Internet tài liệu, số liệu thuộc bí mật Nhà
nước.
3. Trong
trường hợp có thiết kế hệ thống
mạng riêng dùng cho kết nối Internet phục vụ
nhiều người sử dụng, hệ thống
mạng đó phải đảm bảo các yêu cầu sau:
a) Mạng dùng
riêng cho kết nối Internet phải tách biệt về
vật lý với mạng xử lý nghiệp vụ hoặc
giữa chúng phải được ngăn cách bằng
hệ thống bức tường lửa đủ
khả năng kiểm soát toàn bộ các truy nhập
giữa hai mạng và phải đảm bảo an toàn cho
hoạt động của phần mềm, dữ liệu
trên mạng nghiệp vụ;
b) Các ổ
cắm mạng dùng riêng kết nối Internet phải có
gắn nhãn đánh dấu để người sử
dụng dễ nhận biết đó là cổng mạng
kết nối Internet;
c) Có hệ
thống giám sát, quản lý người sử dụng
Internet, quản lý băng thông và thời gian khai thác Internet.
4. Trách nhiệm
của người sử dụng Internet:
a) Có trách
nhiệm bảo vệ hệ thống mạng của
đơn vị, cảnh giác với những mặt trái
của Internet. Chịu trách nhiệm theo quy định
của pháp luật nếu bao che hoặc cho người
khác sử dụng trang thiết bị, mã khoá của mình
để thực hiện các hành vi phạm pháp;
b) Chịu
sự kiểm tra, giám sát của đơn vị và các
cơ quan chức năng của Nhà nước đối
với các thông tin gửi vào Internet và chịu trách nhiệm
pháp lý về các thông tin đó;
c) Tự
quản lý tài khoản của mình và có trách nhiệm thay
đổi mã khoá tối thiểu 6 tháng một lần
để tránh bị lộ;
d) Có trách
nhiệm tuân theo những quy định về nội dung
thông tin đưa lên Internet và cam kết tuân thủ đúng
theo những quy định đó;
đ) Không
được có hành động gây cản trở, phá
hoại hoạt động của mạng Internet. Thông qua
mạng Internet làm ảnh hưởng đến các hệ
thống thông tin khác, hoặc xâm phạm đến quyền
lợi, danh dự của cá nhân khác;
e) Không sử
dụng các công cụ, phần mềm và các biện pháp
kỹ thuật dưới mọi hình thức nhằm
chiếm dụng băng thông đường truyền, gây
tắc nghẽn mạng;
g) Tuân thủ
nội quy sử dụng Internet của đơn vị và
các quy định của Nhà nước, của Ngành về
khai thác, sử dụng Internet.
Điều 20. Lưu trữ dữ liệu
1. Yêu cầu
của hệ thống lưu trữ:
a) Đảm
bảo tính toàn vẹn và đầy đủ của
dữ liệu lưu trữ trong suốt thời gian
lưu trữ theo quy định;
b) Lưu
trữ đúng và đủ thời hạn của từng
loại dữ liệu theo các quy định của Nhà
nước và của Ngành;
c) Các loại
dữ liệu cần thiết để duy trì hoặc khôi
phục lại hoạt động của đơn
vị khi có sự cố phải được lưu
trữ tối thiểu tại hai địa điểm
cách biệt nhau;
d) Khi cần
thiết, dữ liệu lưu trữ phải chuyển
đổi được thành dạng dữ liệu ban
đầu như trước khi lưu.
2. Trách nhiệm
của đơn vị:
a) Có
phương án trang bị, quy trình kỹ thuật lưu
trữ, kiểm tra, bảo quản và khai thác dữ
liệu lưu trữ được cấp có thẩm
quyền phê duyệt;
b) Đảm
bảo các điều kiện về địa
điểm, môi trường lưu trữ, bảo quản
vật mang tin an toàn và khoa học;
c) Duy trì các trang
thiết bị, phần mềm dùng cho lưu trữ, khai
thác đồng thời với dữ liệu lưu
trữ hoặc chuyển đổi dữ liệu lưu
trữ phù hợp với những thay đổi của
giải pháp lưu trữ để đảm bảo khai
thác được dữ liệu đã lưu trữ
tại mọi thời điểm;
d) Quy
định phạm vi, tần xuất lưu trữ phù
hợp đối với từng loại dữ liệu
nghiệp vụ để đảm bảo khôi phục,
duy trì được hoạt động liên tục
của nghiệp vụ trong trường hợp xẩy ra
sự cố đối với dữ liệu hoạt
động chính;
đ) Kiểm
soát và đối chiếu dữ liệu với các khâu
xử lý nghiệp vụ liên quan để đảm
bảo sự chính xác, khớp đúng và đầy
đủ của dữ liệu trước khi lưu
trữ;
e) Thực
hiện ghi sổ theo dõi địa điểm, thời
gian, danh mục dữ liệu, người thực
hiện công việc lưu trữ và khai thác dữ liệu;
g) Ban hành và
triển khai quy trình lưu trữ: sao lưu dữ
liệu; khai thác dữ liệu lưu trữ; kiểm tra,
giám sát an toàn đối với dữ liệu lưu
trữ; biện pháp phòng
ngừa và khắc phục rủi ro cho dữ liệu
lưu trữ; tiêu huỷ dữ liệu lưu trữ
hết thời hạn; và các nội dung khác có liên quan
đến kỹ thuật lưu trữ và bảo quản
dữ liệu lưu trữ an toàn, hiệu quả;
h) Tuân thủ
các quy định khác của Nhà nước và của ngành
Ngân hàng về bảo quản, lưu trữ chứng
từ điện tử.
3. Trách nhiệm
của bộ phận, cá nhân được giao nhiệm
vụ lưu trữ:
a) Thực
hiện đúng các quy định về việc lưu
trữ, bảo quản dữ liệu lưu trữ và
phải chịu trách nhiệm về các rủi ro
đối với dữ liệu lưu trữ do chủ
quan mình gây ra;
b) Không
được phép cho bất cứ tổ chức, cá nhân
nào khai thác, sử dụng dữ liệu lưu trữ
nếu không có sự đồng ý bằng văn bản
của người đứng đầu tổ chức
mình hoặc người được uỷ quyền;
c) Trong
trường hợp có rủi ro hoặc phát hiện nguy
cơ xảy ra rủi ro với dữ liệu điện
tử lưu trữ, phải báo cáo ngay cho người có
thẩm quyền để có biện pháp xử lý, khắc
phục kịp thời.
Điều 21. Công tác dự phòng đối
với thảm họa
1. Các đơn
vị căn cứ quy mô và mức độ quan trọng
của từng hệ thống CNTT đối với
hoạt động của đơn vị để
lựa chọn và triển khai giải pháp dự phòng
thảm họa phù hợp.
2. Các đơn
vị có hệ thống CNTT tập trung phải xây dựng
và duy trì hoạt động của trung tâm dự phòng
đảm bảo các yêu cầu sau:
a) Ban hành các quy
định về quản lý và vận hành trung tâm dự
phòng;
b) Trung tâm
dự phòng phải đặt cách trung tâm xử lý chính
tối thiểu 30 km tính theo đường thẳng
nối giữa hai trung tâm;
c) Trung tâm
dự phòng phải có đủ năng lực về cơ
sở vật chất, kỹ thuật, con người
sẵn sàng đảm nhận toàn bộ vai trò của trung
tâm xử lý chính khi cần thiết;
d) Hệ
thống cung cấp nguồn điện bao gồm
lưới điện quốc gia, máy phát điện,
bộ tích điện và được thiết kế
tự động đảm bảo cung cấp nguồn
điện ổn định, liên tục, đáp ứng
yêu cầu hoạt động 24 giờ/ngày và 7
ngày/tuần;
đ) Cơ
sở dữ liệu hoạt động nghiệp vụ
được lưu trữ tức thời từ trung tâm
chính sang trung tâm dự phòng;
e) Tổ
chức hệ thống an ninh, đảm bảo an toàn
hệ thống trang thiết bị kỹ thuật và
dữ liệu của trung tâm;
g) Thời gian
đưa trung tâm dự phòng vào hoạt động thay
thế hoàn toàn cho trung tâm xử lý chính không quá 04 giờ.
3. Đối
với các đơn vị chưa tổ chức hệ
thống nghiệp vụ tập trung, tổ chức hệ
thống dự phòng phải đảm bảo các yêu
cầu sau:
a) Hệ
thống dự phòng không được đặt trong cùng
toà nhà với hệ thống xử lý chính;
b) Hệ
thống dự phòng phải có đủ năng lực
kỹ thuật sẵn sàng đảm nhận toàn bộ vai
trò của hệ thống chính bị ngừng hoạt
động;
c) Thiết
kế đường điện tách biệt với
hệ thống chính. Trang bị máy phát điện, bộ
tích điện cung cấp nguồn điện ổn
định, liên tục, đáp ứng yêu cầu xử lý
công việc bình thường;
d) Tổ
chức bảo vệ an ninh, an toàn tuyệt đối
hệ thống trang thiết bị kỹ thuật và
dữ liệu;
đ) Cơ
sở dữ liệu hoạt động nghiệp vụ
được lưu trữ tức thời từ hệ
thống chính sang hệ thống dự phòng;
e) Thời gian
đưa hệ thống dự phòng vào hoạt
động thay thế hoàn toàn cho hệ thống chính không
quá 04 giờ.
4. Hoạt
động của hệ thống dự phòng:
a) Hoạt
động từ hệ thống chính chuyển sang hệ
thống dự phòng chỉ được thực hiện
trong điều kiện hệ thống chính bị
ngừng hoạt động và phải được
thủ trưởng đơn vị phê duyệt cho
thực hiện;
b) Việc
đưa hệ thống dự phòng vào sử dụng
phải thực hiện theo đúng kịch bản đã
được phê duyệt;
c) Diễn
tập chuyển hoạt động từ hệ thống
chính sang hệ thống dự phòng phải được
thực hiện định kỳ tối thiểu mỗi
năm một lần;
d) Hệ
thống dự phòng phải được kiểm tra, giám
sát đảm bảo vận hành tốt.
5. Tiến
độ triển khai hệ thống dự phòng:
Các đơn
vị phải có kế hoạch triển khai hệ
thống dự phòng thảm họa cho hệ thống CNTT
theo đúng tiến độ do Ngân hàng Nhà nước quy
định.
Điều 22. Yêu cầu và trách nhiệm của
người vận hành
1. Phải
được trang bị các kiến thức cơ bản
về CNTT: mạng máy tính (máy chủ, máy trạm làm
việc và các thiết bị mạng), hệ điều
hành, cơ sở dữ liệu đang sử dụng.
2. Đã qua các
khoá đào tạo, tập huấn về nghiệp vụ
được giao vận hành.
3. Chỉ
được thực hiện những công việc
được giao, tuân thủ đúng quy trình kỹ
thuật nghiệp vụ, quy trình kỹ thuật vận
hành.
4. Phải
chịu trách nhiệm về những sai sót, chậm
trễ, mất an toàn do chủ quan mình gây ra.
5. Có trách
nhiệm thông báo kịp thời cho người quản
trị hệ thống về những sự cố
đối với hệ thống CNTT nếu có.
Điều 23. Kiểm tra nội bộ
1. Các đơn
vị phải tự tổ chức kiểm tra việc tuân
thủ các quy định về an toàn, bảo mật
hệ thống CNTT theo các quy định tại Quy chế
này tối thiểu mỗi năm một lần.
2. Nội dung
kiểm tra:
a) Đánh giá
chính sách an ninh CNTT;
b) Kiểm tra
tuân thủ chính sách an ninh CNTT;
c) Đánh giá
những rủi ro có thể xảy ra và kiến nghị
xử lý;
d) Trường
hợp kiểm tra phát hiện những vi phạm hoặc
dấu hiệu có thể dẫn đến mất an toàn,
trong báo cáo kiểm tra phải liệt kê cụ thể danh
mục những vấn đề đó, đánh giá mức
độ ảnh hưởng của nó đối với
hoạt động của đơn vị và dự
kiến thời gian phải được hoàn tất
xử lý đối với từng vấn đề;
đ) Nội
dung kiểm tra phải được lập thành báo cáo
gửi các cấp có thẩm quyền.
3. Trách nhiệm
của thủ trưởng đơn vị:
a) Chỉ
đạo, kiểm tra và tạo điều kiện cho
bộ phận quản lý CNTT và các bộ phận liên quan có
kế hoạch khắc phục ngay các kiến nghị sau
kiểm tra;
b) Kiểm tra
việc thực hiện các kiến nghị theo kế
hoạch;
c) Xác
định nguyên nhân và trách nhiệm của cá nhân, tổ
chức đối với những kiến nghị
kiểm tra không được xử lý từ các lần
kiểm tra trước nếu có.
Điều 24. Kiểm tra, bảo trì hệ
thống CNTT
1. Các đơn
vị phải xây dựng kế hoạch kiểm tra,
bảo trì thường xuyên để đảm bảo
hệ thống CNTT hoạt động liên tục, ổn
định và an toàn. Hàng năm, bố trí kinh phí, nguồn
lực thích hợp cho công tác bảo trì.
2. Mọi
hệ thống CNTT phải được bảo trì theo
định kỳ. Tuỳ theo mức độ quan
trọng của mỗi hệ thống CNTT đối
với hoạt động của đơn vị
để lập và triển khai cấp độ bảo
trì phù hợp, nhưng đối với mỗi hệ
thống ít nhất mỗi năm phải thực hiện
bảo trì một lần.
3. Các trang
thiết bị CNTT phải được duy trì mức
công suất dự phòng tối thiểu là 20 phần trăm
so với yêu cầu xử lý tại thời điểm
sử dụng cao nhất.
4. Nhật ký
bảo trì:
a) Toàn bộ quá
trình bảo trì của hệ thống CNTT phải
được ghi sổ nhật ký theo dõi các thay
đổi về thiết kế, cấu hình của hệ
thống CNTT trong những lần sửa chữa, nâng
cấp, thay thế hoặc lắp đặt mới;
b) Các tệp
nhật ký của hệ thống phải được
xem xét thường xuyên, lưu trữ có hệ thống và
phân tích theo nhiều góc độ khác nhau. Trên cơ sở đó
phát hiện và khắc phục kịp thời những
sự cố, biểu hiện mất an toàn.
5. Công tác bảo trì:
a) Công tác
bảo trì phải được tiến hành có kế
hoạch, có kịch bản, đảm bảo hoạt
động bảo trì không ảnh hưởng đến
các hoạt động nghiệp vụ bình thường
của đơn vị;
b) Các trang
thiết bị, phần mềm, cơ sở dữ
liệu phải được kiểm tra, theo dõi và xử
lý kịp thời các hư hỏng, biểu hiện mất
ổn định hoặc quá tải; cập nhật
kịp thời các bản vá lỗi, lấp các lỗ
hổng về an ninh.
c) Kiểm tra,
giám sát đơn vị bảo trì bên ngoài thực hiện
bảo trì theo đúng kịch bản đã được
đơn vị phê duyệt.
Điều 25. Báo cáo về an ninh CNTT
1. Các đơn
vị có trách nhiệm báo cáo bằng văn bản hoặc
bằng file báo cáo điện tử về Ngân hàng Nhà
nước Việt Nam (Cục Công nghệ tin học Ngân
hàng) các báo cáo sau đây:
a) Báo cáo
kiểm tra nội bộ của đơn vị theo quy
định tại Điều 23 của Quy chế này.
Thời hạn báo cáo chậm nhất là 60 ngày kể từ
thời điểm hoàn thành kiểm tra;
b) Báo cáo
đột xuất các vụ, việc mất an toàn
đối với hệ thống CNTT của đơn
vị. Nội dung báo cáo thực hiện theo khoản 2
của Điều này. Thời hạn báo cáo chậm
nhất là 30 ngày kể từ thời điểm vụ,
việc được đơn vị phát hiện.
2. Nội dung
báo cáo đột xuất:
a) Ngày,
địa điểm phát sinh vụ, việc;
b) Nguyên nhân
vụ, việc;
c) Đánh giá
rủi ro, ảnh hưởng đối với hệ
thống CNTT và nghiệp vụ tại nơi xảy ra
vụ, việc và những địa điểm khác có liên
quan;
d) Các biện
pháp đơn vị đã tiến hành để ngăn
chặn, khắc phục và phòng ngừa rủi ro;
đ) Kiến
nghị, đề xuất với Ngân hàng Nhà nước.
CHƯƠNG III
ĐIỀU KHOẢN THI HÀNH
Điều 26. Xử lý vi phạm
Các hành vi vi
phạm quy định tại Quy chế này, tuỳ theo
mức độ vi phạm mà bị xử lý theo các quy
định của pháp luật.
Điều 27. Trách nhiệm thi hành
1. Cục Công
nghệ tin học Ngân hàng có trách nhiệm hướng
dẫn, theo dõi và kiểm tra việc chấp hành Quy chế
này của các đơn vị thuộc Ngân hàng Nhà
nước và các tổ chức tín dụng.
2. Thanh tra Ngân
hàng Nhà nước có trách nhiệm phối hợp với
Cục Công nghệ tin học Ngân hàng kiểm tra việc
chấp hành Quy chế này của các tổ chức tín
dụng.
3. Vụ
Tổng kiểm soát có trách nhiệm chỉ đạo
hoạt động kiểm tra nội bộ và thực
hiện kiểm toán nội bộ việc chấp hành Quy
chế này đối với các đơn vị thuộc
hệ thống Ngân hàng Nhà nước.
4. Thủ
trưởng các đơn vị thuộc Ngân hàng Nhà
nước, Giám đốc Ngân hàng Nhà nước chi nhánh
tỉnh, thành phố trực thuộc Trung ương,
Chủ tịch Hội đồng quản trị, Tổng
giám đốc (Giám đốc) các tổ chức tín
dụng có trách nhiệm tổ chức triển khai và
kiểm tra việc chấp hành tại đơn vị mình
theo đúng các quy định của Quy chế này.
Điều
28. Việc sửa
đổi, bổ sung Quy chế này do Thống đốc Ngân
hàng Nhà nước quyết định.
KT.THỐNG ĐỐC
Phó thống đốc
Phùng
Khắc Kế