Quyết định 04/2006/QĐ-NHNN của Ngân hàng Nhà nước về việc ban hành Quy chế an toàn, bảo mật hệ thống công nghệ thông tin trong ngành Ngân hàng

thuộc tính Quyết định 04/2006/QĐ-NHNN

Quyết định 04/2006/QĐ-NHNN của Ngân hàng Nhà nước về việc ban hành Quy chế an toàn, bảo mật hệ thống công nghệ thông tin trong ngành Ngân hàng
Cơ quan ban hành: Ngân hàng Nhà nước Việt Nam
Số công báo:
Đã biết

Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Số công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Số hiệu:04/2006/QĐ-NHNN
Ngày đăng công báo:
Đã biết

Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Ngày đăng công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Loại văn bản:Quyết định
Người ký:Phùng Khắc Kế
Ngày ban hành:18/01/2006
Ngày hết hiệu lực:
Đã biết

Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Ngày hết hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Áp dụng:
Đã biết

Vui lòng đăng nhập tài khoản để xem Ngày áp dụng. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Tình trạng hiệu lực:
Đã biết

Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Tình trạng hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Lĩnh vực: Tài chính-Ngân hàng

TÓM TẮT VĂN BẢN

An toàn, bảo mật ngành ngân hàng - Ngày 18/01/2006, Thống đốc Ngân hàng Nhà nước đã ban hành Quyết định số 04/2006/QĐ-NHNN ban hành Quy chế an toàn, bảo mật hệ thống công nghệ thông tin trong ngành Ngân hàng. Theo đó, việc quản lý, xác thực người sử dụng trên hệ thống CNTT được quy định như sau: mọi hệ thống CNTT phải quản lý, xác thực được người sử dụng truy nhập trên hệ thống đó, Các hoạt động nghiệp vụ giao dịch xử lý tập trung tức thời qua mạng máy tính phải tổ chức dựa trên hệ thống quản lý, xác thực người sử dụng tập trung, Các quy trình, chương trình, công cụ, thuật toán dùng cho thiết lập mã khoá, thiết bị định danh và cơ sở dữ liệu khoá dùng để kiểm tra truy nhập phải được quản lý, sử dụng theo chế độ "Mật". Định kỳ hàng tuần phải xem xét nhật ký truy nhập hệ thống, phát hiện và xử lý kịp thời những trường hợp truy nhập bất hợp pháp hoặc thao tác vượt quá giới hạn được giao của người sử dụng. Phần mềm quản lý mã khoá phải có các chức năng: thông báo người sử dụng thay đổi mã khóa sắp hết hạn sử dụng, huỷ hiệu lực của mã khoá hết hạn sử dụng, cho phép thay đổi ngay mã khóa bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng, ngăn chặn việc sử dụng lại mã khóa cũ trong một khoảng thời gian nhất định... Chỉ được sử dụng những kỹ thuật mã hoá đã được các tổ chức về an ninh CNTT có uy tín trong nước hoặc trên thế giới kiểm nghiệm, đánh giá đủ tin cậy. Độ phức tạp của thuật toán mã hoá lựa chọn phải phù hợp với cấp độ bảo mật của dữ liệu cần bảo vệ và khả năng xử lý của hệ thống CNTT... Quyết định này có hiệu lực sau 15 ngày, kể từ ngày đăng Công báo.

Xem chi tiết Quyết định04/2006/QĐ-NHNN tại đây

tải Quyết định 04/2006/QĐ-NHNN

LuatVietnam.vn độc quyền cung cấp bản dịch chính thống Công báo tiếng Anh của Thông Tấn Xã Việt Nam.
Tình trạng hiệu lực: Đã biết

QUYẾT ĐỊNH

CỦA THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
SỐ 04/2006/QĐ-NHNN NGÀY 18 THÁNG 01 NĂM 2006 BAN HÀNH
QUY CHẾ AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN TRONG NGÀNH NGÂN HÀNG

THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC

Căn cứ Luật Ngân hàng Nhà nước Việt Nam năm 1997; Luật sửa đổi bổ sung một số điều Luật Ngân hàng Nhà nước Việt Nam năm 2003;

Căn cứ Luật Các tổ chức tín dụng năm 1997; Luật sửa đổi, bổ sung một số điều của Luật Các tổ chức tín dụng năm 2004;

Căn cứ Pháp lệnh Bảo vệ bí mật nhà nước số 03/2000/PL-UBTVQH10 ngày 28/12/2000 của Uỷ ban Thường vụ Quốc hội;

Căn cứ Nghị định số 33/2002/NĐ-CP ngày 28/03/2002 của Chính phủ quy định chi tiết thi hành Pháp lệnh Bảo vệ bí mật nhà nước;

Căn cứ Nghị định số 52/2003/NĐ-CP ngày 19/05/2003 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ tin học Ngân hàng,

QUYẾT ĐỊNH:

 

Điều 1. Ban hành kèm theo Quyết định này "Quy chế an toàn, bảo mật hệ thống công nghệ thông tin trong ngành Ngân hàng".

 

Điều 2. Quyết định này có hiệu lực thi hành sau 15 ngày, kể từ ngày đăng Công báo.

 

Điều 3. Chánh Văn phòng, Cục trưởng Cục Công nghệ tin học Ngân hàng, Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước, Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương, Chủ tịch Hội đồng quản trị, Tổng giám đốc (Giám đốc) các tổ chức tín dụng chịu trách nhiệm thi hành Quyết định này.

THỐNG ĐỐC

Phó thống đốc

Phùng Khắc Kế

 

 

 

QUY CHẾ AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN TRONG NGÀNH NGÂN HÀNG

(Ban hành kèm theo Quyết định số 04/2006/QĐ-NHNN ngày18/01/2006
của Thống đốc Ngân hàng Nhà nước)

 

CHƯƠNG I
QUY ĐỊNH CHUNG

 

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định các yêu cầu đối với người sử dụng và các tiêu thức kỹ thuật an toàn cơ bản của hệ thống công nghệ thông tin Ngân hàng Nhà nước và các Tổ chức tín dụng không bao gồm các Quỹ tín dụng nhân dân cơ sở (sau đây gọi chung là đơn vị), nhằm thống nhất quản lý việc ứng dụng công nghệ thông tin vào các hoạt động ngân hàng an toàn và hiệu quả.

 

Điều 2. Giải thích từ ngữ

1. Hệ thống công nghệ thông tin (CNTT): là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ.

2. Bức tường lửa: là tập hợp các thành phần hoặc một hệ thống các trang thiết bị, phần mềm được đặt giữa hai mạng, nhằm kiểm soát tất cả các kết nối từ bên trong ra bên ngoài mạng hoặc ngược lại.

3. Tính toàn vẹn dữ liệu: là trạng thái tồn tại của dữ liệu giống như khi ở trong các tài liệu ban đầu và không bị thay đổi về dữ liệu, cấu trúc hay mất mát dữ liệu.

4. Quản lý cấu hình: là quản lý các thay đổi về phần cứng, phần mềm, tài liệu kỹ thuật, phương tiện kiểm tra, giao diện kết nối, qui trình kỹ thuật hoạt động, cấu hình cài đặt và tất cả các thay đổi khác của hệ thống CNTT xuyên suốt quá trình từ khi cài đặt đến vận hành.

5. Lưu trữ: là tạo bản sao của một phần mềm hoặc dữ liệu nhằm mục đích bảo vệ chống lại mất mát, hư hỏng của phần mềm, dữ liệu nguyên bản.

6. Virus: là chương trình máy tính có thể tự nhân bản, lan truyền trên mạng máy tính hoặc qua các thiết bị mang tin, có khả năng phá hủy dữ liệu hoặc thực hiện các chức năng không mong muốn đối với hệ thống CNTT.

7. Cấp quyền: là sự cấp phép được gán cho một cá nhân tuân theo quy cách tổ chức đã được hình thành trước để truy nhập, sử dụng một chương trình hoặc một tiến trình của hệ thống CNTT.

8. Mã khoá: là một chuỗi ký tự hoặc một cách thức xác nhận định danh bảo mật được sử dụng để chứng thực quyền của người sử dụng.

9. Hệ thống an ninh mạng: là tập hợp các thiết bị tường lửa; thiết bị kiểm soát, phát hiện truy cập bất hợp pháp; phần mềm quản trị, theo dõi, ghi nhật ký trạng thái an ninh mạng và các trang thiết bị khác có chức năng đảm bảo an toàn hoạt động của mạng, tất cả cùng hoạt động đồng bộ theo một chính sách an ninh mạng nhất quán nhằm kiểm soát chặt chẽ tất cả các hoạt động trên mạng.

10. Kịch bản: là một tập hợp những yêu cầu, thủ tục, tình huống, dữ liệu và kết quả thực hiện được xác định trước, sử dụng cho quá trình kiểm tra, cài đặt, bảo hành, bảo trì các trang thiết bị, phần mềm, cơ sở dữ liệu CNTT.

 

Điều 3. Trách nhiệm của đơn vị

1. Ban hành các chính sách an toàn, bảo mật hệ thống CNTT (gọi chung là chính sách an ninh CNTT), tổ chức thực hiện và kiểm tra việc thực hiện những chính sách đó. Thường xuyên cập nhật chính sách an ninh CNTT phù hợp với những thay đổi hệ thống CNTT của đơn vị, môi trường vận hành và những tiến bộ khoa học kỹ thuật về lĩnh vực an ninh CNTT.

2. Bố trí các nguồn lực cần thiết để thực hiện việc trang bị, triển khai, vận hành, quản lý, giám sát và xử lý các sự cố trong hoạt động ứng dụng CNTT, đảm bảo các hệ thống CNTT hoạt động an toàn, bảo mật phù hợp với yêu cầu hoạt động nghiệp vụ và chiến lược an ninh CNTT của đơn vị. Tiến hành các biện pháp phòng ngừa, phát hiện và xử lý kịp thời các gian lận, lỗi, mất ổn định và những yếu tố bất thường, mất an toàn khác.

3. Tổ chức bộ phận quản lý an ninh CNTT thích hợp nhằm thống nhất quản lý, triển khai các hoạt động về an ninh CNTT từ khâu lập kế hoạch, thiết kế, triển khai cài đặt đến vận hành hệ thống CNTT, phù hợp với các quy định tại văn bản này. Tuyển chọn, đào tạo người quản trị hệ thống CNTT đảm bảo các tiêu chuẩn: có đạo đức nghề nghiệp, có kiến thức về an ninh CNTT, và được trang bị các kiến thức liên quan tới hoạt động nghiệp vụ và hệ thống CNTT của đơn vị. Quyết định phân công nhiệm vụ quản trị hệ thống CNTT phải được thể hiện bằng văn bản.

4. Đảm bảo hệ thống CNTT sẵn sàng ở mức độ cao; xây dựng, thử nghiệm các kế hoạch dự phòng và khôi phục hệ thống khi có sự cố hoặc thảm họa.

5. Đánh giá về năng lực, tính khả thi, rủi ro liên quan đến các hoạt động CNTT do các đối tác bên ngoài cung cấp; xây dựng các thoả thuận để xác định rõ mối quan hệ, nghĩa vụ và trách nhiệm của các bên tham gia cung cấp dịch vụ CNTT như: mức độ cung cấp dịch vụ, dự kiến kết quả vận hành, khả năng thực thi, khả năng mở rộng, mức độ tuân thủ, kế hoạch dự phòng, mức độ dự phòng, an toàn bảo mật, đình chỉ dịch vụ, kiểm soát các nghĩa vụ thực hiện hợp đồng và mối quan hệ với các hệ thống CNTT liên quan.

6. Thường xuyên tổ chức các khoá đào tạo cập nhật kiến thức về an ninh CNTT cho người sử dụng phù hợp với nhiệm vụ mà người đó đảm nhiệm.

7. Các trang thiết bị, phần mềm, cơ sở dữ liệu sử dụng trong hoạt động nghiệp vụ phải có bản quyền sử dụng theo quy định của pháp luật.

 

Điều 4. Các yêu cầu an ninh thông tin

1. Tính bí mật: thông tin không thể bị tiếp cận bởi những người không có thẩm quyền.

2. Tính nguyên vẹn: thông tin không thể bị sửa đổi, xóa hoặc bổ sung bởi những người không có thẩm quyền.

3. Tính sẵn sàng: thông tin luôn sẵn sàng đáp ứng nhu cầu sử dụng của người có thẩm quyền.

4. Tính không thể phủ nhận: người khởi tạo thông tin không thể phủ nhận trách nhiệm đối với thông tin do mình tạo ra.

5. Tính xác thực: xác định được nguồn gốc của thông tin.

 

Điều 5. Xác định yêu cầu an ninh của hệ thống CNTT

Việc xếp loại yêu cầu, mức độ đầu tư cho an ninh hệ thống CNTT của đơn vị phải được xác định rõ dựa trên các yếu tố sau:

1. Vai trò của hệ thống CNTT trong việc thực hiện các mục tiêu của đơn vị.

2. Nguồn gốc, nguy cơ xẩy ra các rủi ro đối với hệ thống CNTT.

3. Khả năng khắc phục khi có rủi ro.

4. Mức độ rủi ro có thể chấp nhận được.

5. Ảnh hưởng của rủi ro nếu xảy ra đối với hoạt động của đơn vị nói riêng và hoạt động chung của ngành Ngân hàng.

 

Điều 6. Các hành vi bị nghiêm cấm

1. Không tuân thủ các quy định về an ninh hệ thống CNTT của Nhà nước, của Ngành và của đơn vị.

2. Truy cập, cung cấp, phát tán thông tin bất hợp pháp.

3. Tiết lộ kiến trúc hệ thống, thuật toán của hệ thống an ninh CNTT.

4. Sửa đổi trái phép kiến trúc, cơ chế hoạt động của hệ thống CNTT.

5. Sử dụng các trang thiết bị CNTT của đơn vị phục vụ cho mục đích cá nhân.

6. Các hành vi khác làm cản trở, phá hoại hoạt động của hệ thống CNTT.

 

CHƯƠNG II
QUY ĐỊNH CỤ THỂ

 

Điều 7. Quản lý, xác thực người sử dụng trên hệ thống CNTT

1. Mọi hệ thống CNTT phải quản lý, xác thực được người sử dụng truy nhập trên hệ thống đó.

2. Các hoạt động nghiệp vụ giao dịch xử lý tập trung tức thời qua mạng máy tính phải tổ chức dựa trên hệ thống quản lý, xác thực người sử dụng tập trung.

3. Các quy trình, chương trình, công cụ, thuật toán dùng cho thiết lập mã khoá, thiết bị định danh và cơ sở dữ liệu khoá dùng để kiểm tra truy nhập phải được quản lý, sử dụng theo chế độ "Mật".

4. Yêu cầu tổ chức hệ thống xác thực:

a) Có quy trình quản lý và xác thực người sử dụng cho từng hệ thống CNTT phù hợp với yêu cầu an toàn, bảo mật của nghiệp vụ xử lý trên đó;

b) Xác thực quyền truy nhập của người sử dụng bằng tài khoản, bằng phương tiện định danh hoặc kết hợp của cả hai và chỉ cấp cho người sử dụng đủ quyền hạn để thực thi nhiệm vụ mà người đó được phân công;

c) Mã khóa, dữ liệu định danh dùng cho việc xác thực truy nhập phải được bảo mật trong quá trình lưu trữ, truyền qua mạng và hiển thị trên màn hình của người sử dụng;

d) Môi trường nơi đặt trang thiết bị xác thực phải đảm bảo bí mật, an toàn cho sử dụng mã khoá, phương tiện định danh;

đ) Kiểm tra và loại bỏ kịp thời những người sử dụng không còn thẩm quyền làm việc trên hệ thống CNTT;

e) Đình chỉ tạm thời quyền làm việc của người sử dụng đã được đăng ký trên hệ thống CNTT, nhưng tạm thời không làm việc trên hệ thống đó trong thời gian từ 60 ngày trở lên;

g) Định kỳ hàng tuần, xem xét nhật ký truy nhập hệ thống, phát hiện và xử lý kịp thời những trường hợp truy nhập bất hợp pháp hoặc thao tác vượt quá giới hạn được giao của người sử dụng.

 

Điều 8. Các phương pháp xác thực

1. Xác thực dùng định danh (ID) và mã khóa (password) phải đáp ứng các yêu cầu sau:

a) Mã khoá phải có độ dài từ sáu ký tự trở lên, cấu tạo gồm các kí tự số, chữ và các ký tự đặc biệt khác nếu hệ thống cho phép. Các yêu cầu mã khoá hợp lệ phải được kiểm tra tự động khi thiết lập mã khoá;

b) Các mã khoá mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm, cơ sở dữ liệu phải được thay đổi ngay khi đưa vào sử dụng;

c) Phần mềm quản lý mã khoá phải có các chức năng: thông báo người sử dụng thay đổi mã khóa sắp hết hạn sử dụng; huỷ hiệu lực của mã khoá hết hạn sử dụng; cho phép thay đổi ngay mã khóa bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng; ngăn chặn việc sử dụng lại mã khóa cũ trong một khoảng thời gian nhất định.

2. Xác thực dùng thẻ phải quy định rõ trách nhiệm của các bên phát hành và sử dụng thẻ.

3. Xác thực dùng phương pháp sinh trắc học phải đảm bảo an toàn cho người sử dụng trong quy trình thu thập các yếu tố sinh trắc học.

4. Xác thực dùng hạ tầng khóa công khai (PKI) phải thực hiện các yêu cầu sau:

a) Kiểm tra các đối tượng xin cấp chứng chỉ số và cặp khoá hợp pháp, hợp lệ;

b) Kiểm tra tính hợp lệ của chứng chỉ số trước khi xem xét, chấp nhận các giao dịch dùng chứng chỉ số;

c) Kiểm soát, cập nhật kịp thời vào cơ sở dữ liệu các chứng chỉ số bị huỷ bỏ để tránh bị lợi dụng;

d) Có các biện pháp bảo vệ an toàn khóa gốc (root key) và các trang thiết bị của hệ thống chứng chỉ số;

đ) Ghi nhật ký toàn bộ quá trình cấp phát, thay đổi, huỷ chứng chỉ số và cặp khoá;

e) Thường xuyên xem xét các sự kiện bất thường của hệ thống chứng chỉ số phát hiện kịp thời những thay đổi và truy cập bất hợp pháp.

 

Điều 9. Kiểm soát truy nhập hệ thống CNTT

1. Mọi hệ thống CNTT đều phải được thiết lập chức năng kiểm soát truy nhập, cảnh báo, ngăn chặn người sử dụng truy nhập bất hợp pháp hoặc sử dụng sai chức năng, quyền hạn trên hệ thống.

2. Hệ thống kiểm soát truy nhập phải có các chức năng sau:

a) Tự động đình chỉ việc truy nhập hệ thống của người sử dụng nếu trong một khoảng thời gian định sẵn đã thực hiện ba lần truy nhập liên tiếp không hợp lệ vào hệ thống. Tất cả các truy cập không thành công phải được hệ thống ghi nhật ký tự động;

b) Quản lý, xác nhận việc kết nối của các thiết bị đầu cuối cũng như chấp thuận cho các thiết bị đầu cuối được thực hiện kết nối;

c) Không cho phép người sử dụng trừ người quản trị hệ thống truy nhập đồng thời vào nhiều thiết bị đầu cuối tại một thời điểm;

d) Thiết bị đầu cuối cài đặt tự động chuyển sang chế độ không hoạt động, chế độ khoá màn hình có mã khóa hoặc tự động thoát khỏi hệ thống sau một khoảng thời gian không sử dụng.

 

Điều 10. Mã hoá dữ liệu

1. Các loại dữ liệu quan trọng, nhạy cảm truyền dẫn trên mạng máy tính phải được mã hoá.

2. Chỉ được sử dụng những kỹ thuật mã hoá đã được các tổ chức về an ninh CNTT có uy tín trong nước hoặc trên thế giới kiểm nghiệm, đánh giá đủ tin cậy. Độ phức tạp của thuật toán mã hoá lựa chọn phải phù hợp với cấp độ bảo mật của dữ liệu cần bảo vệ và khả năng xử lý của hệ thống CNTT.

3. Các yếu tố bí mật dùng cho kỹ thuật mã hoá phải được cài đặt độc lập với nhà cung cấp và thay đổi theo định kỳ ít nhất một năm một lần.

4. Các trang thiết bị, phần mềm sử dụng cho giải pháp mã hoá phải được lưu trữ đồng thời với dữ liệu mã hoá; hoặc phải chuyển đổi dữ liệu mã hoá sang dạng mới khi có thay đổi về phương thức mã hoá để đảm bảo khôi phục dữ liệu nguyên bản từ dữ liệu dạng mã hoá tại mọi thời điểm.

5. Giải pháp mã hóa đang sử dụng phải được thường xuyên kiểm tra, đánh giá lại mức độ an toàn và xử lý kịp thời những yếu điểm nếu có.

 

Điều 11. Ghi nhật ký giám sát hoạt động

1. Các hệ thống CNTT phải có chức năng ghi nhật ký giám sát các hoạt động trên hệ thống đó. Đồng hồ của các trang thiết bị trên cùng một hệ thống CNTT phải được đồng bộ từ cùng một nguồn để đảm bảo tính chính xác của nhật ký giám sát.

2. Các truy nhập và các thao tác làm ảnh hưởng đến hoạt động của hệ thống phải được ghi nhật ký. File nhật ký phải được bảo vệ chống lại mọi sự thay đổi.

3. Thủ trưởng đơn vị quy định chế độ ghi nhật ký, thời gian lưu trữ file nhật ký cho từng hệ thống CNTT, nhằm đảm bảo giám sát được các hoạt động trên hệ thống và phục vụ công tác kiểm toán.

4. Người quản trị hệ thống có trách nhiệm thường xuyên xem xét các file nhật ký của hệ thống nhằm phát hiện, xử lý và ngăn chặn kịp thời các sự cố gây mất an toàn, ổn định của hệ thống CNTT.

 

Điều 12. An toàn vật lý

1. Phòng máy chủ và các khu vực đặt, sử dụng các trang thiết bị CNTT phải có nội quy và áp dụng các biện pháp bảo vệ, kiểm soát ra vào, đảm bảo chỉ những người có nhiệm vụ mới được vào những khu vực đó.

2. Những công việc tiến hành trong phòng máy chủ phải được ghi sổ nhật ký làm việc hàng ngày.

3. Phòng máy tính phải đảm bảo vệ sinh công nghiệp: không dột, không thấm nước; các trang thiết bị lắp đặt trên sàn kỹ thuật, không bị ánh nắng chiếu rọi trực tiếp; độ ẩm, nhiệt độ đạt tiêu chuẩn quy định cho các thiết bị và máy chủ; trang bị đầy đủ thiết bị phòng chống cháy, nổ, lũ lụt, hệ thống chống sét và hệ thống an ninh chống truy nhập bất hợp pháp.

4. Các trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên ngoài trụ sở của đơn vị phải có biện pháp giám sát, bảo vệ an toàn phòng chống truy nhập bất hợp pháp và quản lý việc sử dụng các trang thiết bị đó.

5. Người sử dụng phải thoát khỏi hệ thống (logout) ngay khi rời khỏi vị trí làm việc.

6. Chương trình, số liệu của đơn vị có khả năng bị lợi dụng phải được loại bỏ khi giao các trang thiết bị có chứa các chương trình, dữ liệu đó cho đơn vị bên ngoài hoặc khi thanh lý tài sản.

7. Nguồn điện cho hệ thống CNTT:

a) Phòng máy chủ phải được trang bị nguồn điện riêng với các tiêu chuẩn kỹ thuật công nghiệp phù hợp với các trang thiết bị lắp đặt trong phòng máy;

b) Nguồn điện dự phòng phải đủ tiêu chuẩn, công suất cho hoạt động bình thường của hệ thống CNTT trong thời gian nguồn điện chính có sự cố.

 

Điều 13. An toàn mạng máy tính

1. Tài liệu kỹ thuật và vận hành hệ thống mạng máy tính phải gồm các loại như sau:

a) Hồ sơ khảo sát, thiết kế và thuyết minh kỹ thuật của mạng;

b) Tài liệu tự kiểm tra, đánh giá của đơn vị hoặc do cơ quan chuyên môn của Nhà nước xác định thiết kế của mạng đủ tiêu chuẩn an toàn cho vận hành;

c) Quy trình quản lý và vận hành mạng.

2. Yêu cầu an ninh mạng máy tính:

a) Kiểm soát, giám sát được các truy nhập mạng;

b) Ngăn chặn được các truy cập trái phép;

c) Ghi nhật ký truy nhập mạng;

d) Có quy trình xử lý sự cố và phòng ngừa thảm hoạ;

đ) Có các biện pháp kỹ thuật, hành chính ngăn chặn việc tiếp cận trái phép các trang thiết bị, đường truyền mạng.

3. Trách nhiệm người sử dụng mạng:

a) Phải đăng ký và được chấp thuận sử dụng trước khi truy nhập vào mạng;

b) Khi phát hiện thấy dấu hiệu mất an toàn, phải thông báo ngay cho người quản trị mạng xử lý;

c) Cập nhật phiên bản phần mềm chống virus mới và thường xuyên quét virus trên máy tính kết nối vào mạng. Không tự ý thay đổi, gỡ bỏ các chương trình, thông số kỹ thuật mà người quản trị mạng đã cài đặt;

d) Không sử dụng máy tính xử lý nghiệp vụ để kết nối Internet nếu chưa được bộ phận quản lý CNTT của đơn vị xác định đã đủ các điều kiện bảo vệ an toàn;

đ) Chấp hành các quy định khác của đơn vị phù hợp với các quy định tại Quy chế này.

4. Trách nhiệm người quản trị mạng:

a) Kiểm tra, đảm bảo mạng máy tính hoạt động liên tục, ổn định và an toàn;

b) Quản lý cấu hình mạng, tài nguyên và người sử dụng trên mạng;

c) Thiết lập đầy đủ các chế độ kiểm soát an ninh mạng. Sử dụng các công cụ được trang bị, dò tìm và phát hiện kịp thời các điểm yếu, dễ bị tổn thương và các truy nhập bất hợp pháp vào hệ thống mạng. Thường xuyên xem xét, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.

d) Phát hiện và xử lý kịp thời những lỗ hổng về an ninh của hệ thống mạng;

đ) Hướng dẫn, hỗ trợ người sử dụng bảo vệ tài khoản, tài nguyên trên mạng, cài đặt phần mềm chống virus và giải quyết kịp thời những sự cố truy nhập mạng;

e) Kiểm tra và ngắt kết nối ra khỏi mạng những máy tính của người sử dụng không tuân thủ các quy định của đơn vị về phòng, chống virus và các quy định khác về an ninh mạng.

 

Điều 14. An toàn cơ sở dữ liệu (CSDL):

1. Hệ quản trị CSDL sử dụng cho các hoạt động nghiệp vụ phải đáp ứng được yêu cầu sau:

a) Vận hành trên mạng và độc lập với máy chủ, hệ điều hành;

b) Hoạt động ổn định; xử lý, lưu trữ được khối lượng dữ liệu lớn theo yêu cầu nghiệp vụ;

c) Bảo vệ và phân quyền truy nhập đối với các tài nguyên CSDL;

d) Quản lý, đảm bảo tính nhất quán của các bảng dữ liệu quan hệ và của từng tác vụ xử lý trên CSDL;

đ) Có tích hợp công cụ ngôn ngữ truy vấn có cấu trúc (SQL);

e) Hỗ trợ lưu trữ CSDL trực tuyến và khôi phục CSDL từ phiên bản lưu;

g) Có khả năng nâng cấp phiên bản mới.

2. Chỉ sử dụng các CSDL đã được kiểm nghiệm qua thực tế hoạt động nghiệp vụ của các tổ chức tương tự trong hoặc ngoài nước.

3. Trách nhiệm của người quản trị CSDL:

a) Duy trì hệ CSDL hoạt động liên tục, ổn định và an toàn;

b) Thay đổi các mã khoá mặc định ngay khi đưa CSDL vào sử dụng;

c) Phân quyền sử dụng tài nguyên cho người sử dụng CSDL;

d) Lập kế hoạch, thực hiện lưu trữ dữ liệu và kiểm tra kết quả lưu trữ;

đ) Kiểm tra, đảm bảo khôi phục được hoàn toàn CSDL từ bản lưu trữ khi cần thiết;

e) Quản lý chặt chẽ các bản lưu trữ, tránh nguy cơ mất mát, bị thay đổi và khai thác bất hợp pháp;

g) Thường xuyên kiểm tra tình trạng của CSDL cả về mặt vật lý và logic. Cập nhật kịp thời các bản vá lỗi từ nhà cung cấp.

 

Điều 15. An toàn phần mềm ứng dụng

1. Yêu cầu chung:

a) Tài liệu kỹ thuật:

- Tài liệu đối với phần mềm do đơn vị tự phát triển gồm: yêu cầu người sử dụng, phân tích thiết kế hệ thống, quá trình phát triển, thử nghiệm, triển khai, quản lý phiên bản và hướng dẫn vận hành;

- Tài liệu kèm theo phần mềm đóng gói do bên ngoài cung cấp gồm: tài liệu kỹ thuật và tài liệu hướng dẫn sử dụng phần mềm.

b) Phần mềm phải tích hợp các giải pháp xác thực, kiểm soát truy nhập và mã hoá dữ liệu theo các quy định tại các Điều 8, Điều 9 và Điều 10 của Quy chế này;

c) Phần mềm phải vận hành ổn định, xử lý chính xác và đảm bảo tính nhất quán của dữ liệu;

d) Các phần mềm nghiệp vụ và tài liệu kỹ thuật phải được nhân bản và lưu giữ an toàn tối thiểu tại hai địa điểm tách biệt.

2. Phân tích, thiết kế và viết phần mềm:

a) Các yêu cầu an toàn, bảo mật của nghiệp vụ phải được xác định trước và tổ chức, triển khai vào toàn bộ chu trình phát triển phần mềm từ khâu phân tích thiết kế đến triển khai vận hành;

b) Các tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hoá và lưu trữ, sử dụng theo chế độ "Mật".

3. Kiểm tra, thử nghiệm phần mềm:

Mọi phần mềm triển khai vào thực tế phải qua các bước kiểm tra, thử nghiệm sau:

a) Lập và phê duyệt kế hoạch, kịch bản thử nghiệm. Việc thử nghiệm phải đảm bảo không ảnh hưởng đến hoạt động bình thường của nghiệp vụ và các hệ thống CNTT khác;

b) Tiến hành thử nghiệm trên môi trường riêng biệt. Lập báo cáo kết quả thử nghiệm trình cấp có thẩm quyền phê duyệt đưa vào sử dụng;

c) Việc sử dụng dữ liệu thật trong quá trình thử nghiệm phải có biện pháp phòng ngừa tránh bị lợi dụng hoặc gây nhầm lẫn.

4. Triển khai, vận hành phần mềm:

a) Việc triển khai phần mềm không được ảnh hưởng đến an toàn, bảo mật của các hệ thống CNTT đã có;

b) Trước khi triển khai phần mềm, phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống CNTT liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.

5. Quản lý phiên bản phần mềm:

a) Đối với mỗi yêu cầu thay đổi phần mềm, phải phân tích đánh giá ảnh hưởng của việc thay đổi đối với nghiệp vụ và các hệ thống CNTT có liên quan khác của đơn vị;

b) Các phiên bản phần mềm sau khi thử nghiệm thành công phải được quản lý chặt chẽ, tránh bị sửa đổi bất hợp pháp và sẵn sàng cho việc triển khai;

c) Đi kèm với phiên bản phần mềm mới phải có các chỉ dẫn rõ ràng về nội dung thay đổi, hướng dẫn cập nhật phần mềm và các thông tin liên quan khác;

d) Chỉ được triển khai vào hoạt động nghiệp vụ phiên bản phần mềm đã được thủ trưởng đơn vị phê duyệt cho triển khai.

6. Quản lý mã nguồn phần mềm:

a) Mã nguồn phần mềm phải được quản lý chặt chẽ để tránh bị sử dụng hoặc sửa đổi trái phép;

b) Phải có các thoả thuận về việc quản lý, chỉnh sửa mã nguồn dùng cho bảo trì trong trường hợp những phần mềm đó do đối tác bên ngoài phát triển và không bàn giao mã nguồn.

7. Tuân thủ các quy định khác về an toàn, bảo mật được quy định tại Quyết định số 1630/2003/QĐ-NHNN ngày 19/12/2003 của Thống đốc Ngân hàng Nhà nước Việt Nam ban hành quy định về tiêu chuẩn kỹ thuật trong gia công mua sắm phần mềm nghiệp vụ Ngân hàng.

 

Điều 16. An toàn hệ điều hành của máy chủ

1. Hệ điều hành được lựa chọn phải đáp ứng các yêu cầu sau:

a) Vận hành an toàn, ổn định;

b) Có tính sẵn sàng cao;

c) Quản lý người sử dụng, bảo vệ và phân quyền truy nhập tài nguyên;

d) Ghi nhật ký hoạt động của hệ thống;

đ) Cập nhập phiên bản mới;

e) Kiểm tra, khôi phục hệ thống khi sự cố.

2. Chỉ sử dụng hệ điều hành đã được kiểm nghiệm qua thực tế hoạt động nghiệp vụ của các tổ chức tương tự trong hoặc ngoài nước.

3. Trách nhiệm của người quản trị hệ điều hành:

a) Đảm bảo cho hệ điều hành cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn;

b) Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, kịp thời phát hiện và xử lý những sự cố nếu có;

c) Cấp quyền và quản lý truy nhập của người sử dụng trên máy chủ cài đặt hệ điều hành;

d) Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành;

đ) Thường xuyên cập nhật các bản vá lỗi hệ điều hành từ nhà cung cấp;

e) Loại bỏ các dịch vụ của hệ điều hành không cần thiết hoặc không còn nhu cầu sử dụng.

 

Điều 17. Phòng, chống virus máy tính

1. Đơn vị phải triển khai phòng chống virus cho toàn bộ các hệ thống CNTT của mình. Theo dõi và thông báo kịp thời cho người sử dụng các loại virus mới và cách phòng chống.

2. Trách nhiệm phòng, chống virus của người sử dụng:

a) Thường xuyên kiểm tra và diệt virus ;

b) Phần mềm, dữ liệu và các phương tiện mang tin nhận từ bên ngoài phải được kiểm tra virus trước khi sử dụng;

c) Không mở các thư lạ, các tệp tin đính kèm hoặc các liên kết trong các thư lạ để tránh virus;

d) Không vào các trang web không có nguồn gốc xuất xứ rõ ràng;

đ) Cập nhật kịp thời các mẫu virus và các phần mềm chống virus mới;

e) Trường hợp phát hiện nhưng không diệt được virus, phải báo ngay cho người quản trị hệ thống xử lý.

 

Điều 18. Kết nối, trao đổi dữ liệu với đơn vị bên ngoài

1. Việc kết nối với bên ngoài phải thực hiện theo nguyên tắc không được ảnh hưởng đến an ninh và hoạt động bình thường hệ thống mạng của đơn vị.

2. Hệ thống mạng nội bộ đơn vị phải tách biệt về vật lý hoặc logic với mạng kết nối bên ngoài.

3. Việc kết nối, trao đổi dữ liệu với bên ngoài phải được quy định cụ thể về tiêu chuẩn kết nối, dịch vụ được sử dụng, quyền truy cập, quy cách dữ liệu và quy trình trao đổi.

4. Các bước triển khai kết nối:

a) Khảo sát, thiết kế cấu hình hệ thống, phương thức kết nối và dịch vụ sử dụng trên mạng;

b) Phân tích những ảnh hưởng, nguy cơ mất an toàn và lựa chọn giải pháp an ninh phù hợp, phòng chống truy nhập trái phép;

c) Trình thủ trưởng đơn vị phê duyệt phương án kết nối, cách thức trao đổi dữ liệu;

d) Lắp đặt, kiểm tra, thử nghiệm đạt yêu cầu và đưa vào vận hành chính thức;

đ) Triển khai các biện pháp phòng chống xâm nhập bất hợp pháp từ bên ngoài.

 

Điều 19. Kết nối Internet

1. Các đơn vị phải ban hành các quy định nội bộ về quản lý và sử dụng Internet, đảm bảo việc sử dụng Internet an toàn, hiệu quả và tuân thủ đúng các quy định của Pháp luật.

2. Các máy tính dùng cho kết nối Internet phải được dán nhãn thông báo để dễ nhận biết; và không được kết nối trực tiếp với mạng xử lý nghiệp vụ nếu chưa được bộ phận quản lý CNTT của đơn vị xác định đã đủ các điều kiện bảo vệ an toàn. Không lưu trữ trên máy tính kết nối Internet tài liệu, số liệu thuộc bí mật Nhà nước.

3. Trong trường hợp có thiết kế hệ thống mạng riêng dùng cho kết nối Internet phục vụ nhiều người sử dụng, hệ thống mạng đó phải đảm bảo các yêu cầu sau:

a) Mạng dùng riêng cho kết nối Internet phải tách biệt về vật lý với mạng xử lý nghiệp vụ hoặc giữa chúng phải được ngăn cách bằng hệ thống bức tường lửa đủ khả năng kiểm soát toàn bộ các truy nhập giữa hai mạng và phải đảm bảo an toàn cho hoạt động của phần mềm, dữ liệu trên mạng nghiệp vụ;

b) Các ổ cắm mạng dùng riêng kết nối Internet phải có gắn nhãn đánh dấu để người sử dụng dễ nhận biết đó là cổng mạng kết nối Internet;

c) Có hệ thống giám sát, quản lý người sử dụng Internet, quản lý băng thông và thời gian khai thác Internet.

4. Trách nhiệm của người sử dụng Internet:

a) Có trách nhiệm bảo vệ hệ thống mạng của đơn vị, cảnh giác với những mặt trái của Internet. Chịu trách nhiệm theo quy định của pháp luật nếu bao che hoặc cho người khác sử dụng trang thiết bị, mã khoá của mình để thực hiện các hành vi phạm pháp;

b) Chịu sự kiểm tra, giám sát của đơn vị và các cơ quan chức năng của Nhà nước đối với các thông tin gửi vào Internet và chịu trách nhiệm pháp lý về các thông tin đó;

c) Tự quản lý tài khoản của mình và có trách nhiệm thay đổi mã khoá tối thiểu 6 tháng một lần để tránh bị lộ;

d) Có trách nhiệm tuân theo những quy định về nội dung thông tin đưa lên Internet và cam kết tuân thủ đúng theo những quy định đó;

đ) Không được có hành động gây cản trở, phá hoại hoạt động của mạng Internet. Thông qua mạng Internet làm ảnh hưởng đến các hệ thống thông tin khác, hoặc xâm phạm đến quyền lợi, danh dự của cá nhân khác;

e) Không sử dụng các công cụ, phần mềm và các biện pháp kỹ thuật dưới mọi hình thức nhằm chiếm dụng băng thông đường truyền, gây tắc nghẽn mạng;

g) Tuân thủ nội quy sử dụng Internet của đơn vị và các quy định của Nhà nước, của Ngành về khai thác, sử dụng Internet.

 

Điều 20. Lưu trữ dữ liệu

1. Yêu cầu của hệ thống lưu trữ:

a) Đảm bảo tính toàn vẹn và đầy đủ của dữ liệu lưu trữ trong suốt thời gian lưu trữ theo quy định;

b) Lưu trữ đúng và đủ thời hạn của từng loại dữ liệu theo các quy định của Nhà nước và của Ngành;

c) Các loại dữ liệu cần thiết để duy trì hoặc khôi phục lại hoạt động của đơn vị khi có sự cố phải được lưu trữ tối thiểu tại hai địa điểm cách biệt nhau;

d) Khi cần thiết, dữ liệu lưu trữ phải chuyển đổi được thành dạng dữ liệu ban đầu như trước khi lưu.

2. Trách nhiệm của đơn vị:

a) Có phương án trang bị, quy trình kỹ thuật lưu trữ, kiểm tra, bảo quản và khai thác dữ liệu lưu trữ được cấp có thẩm quyền phê duyệt;

b) Đảm bảo các điều kiện về địa điểm, môi trường lưu trữ, bảo quản vật mang tin an toàn và khoa học;

c) Duy trì các trang thiết bị, phần mềm dùng cho lưu trữ, khai thác đồng thời với dữ liệu lưu trữ hoặc chuyển đổi dữ liệu lưu trữ phù hợp với những thay đổi của giải pháp lưu trữ để đảm bảo khai thác được dữ liệu đã lưu trữ tại mọi thời điểm;

d) Quy định phạm vi, tần xuất lưu trữ phù hợp đối với từng loại dữ liệu nghiệp vụ để đảm bảo khôi phục, duy trì được hoạt động liên tục của nghiệp vụ trong trường hợp xẩy ra sự cố đối với dữ liệu hoạt động chính;

đ) Kiểm soát và đối chiếu dữ liệu với các khâu xử lý nghiệp vụ liên quan để đảm bảo sự chính xác, khớp đúng và đầy đủ của dữ liệu trước khi lưu trữ;

e) Thực hiện ghi sổ theo dõi địa điểm, thời gian, danh mục dữ liệu, người thực hiện công việc lưu trữ và khai thác dữ liệu;

g) Ban hành và triển khai quy trình lưu trữ: sao lưu dữ liệu; khai thác dữ liệu lưu trữ; kiểm tra, giám sát an toàn đối với dữ liệu lưu trữ; biện pháp phòng ngừa và khắc phục rủi ro cho dữ liệu lưu trữ; tiêu huỷ dữ liệu lưu trữ hết thời hạn; và các nội dung khác có liên quan đến kỹ thuật lưu trữ và bảo quản dữ liệu lưu trữ an toàn, hiệu quả;

h) Tuân thủ các quy định khác của Nhà nước và của ngành Ngân hàng về bảo quản, lưu trữ chứng từ điện tử.

3. Trách nhiệm của bộ phận, cá nhân được giao nhiệm vụ lưu trữ:

a) Thực hiện đúng các quy định về việc lưu trữ, bảo quản dữ liệu lưu trữ và phải chịu trách nhiệm về các rủi ro đối với dữ liệu lưu trữ do chủ quan mình gây ra;

b) Không được phép cho bất cứ tổ chức, cá nhân nào khai thác, sử dụng dữ liệu lưu trữ nếu không có sự đồng ý bằng văn bản của người đứng đầu tổ chức mình hoặc người được uỷ quyền;

c) Trong trường hợp có rủi ro hoặc phát hiện nguy cơ xảy ra rủi ro với dữ liệu điện tử lưu trữ, phải báo cáo ngay cho người có thẩm quyền để có biện pháp xử lý, khắc phục kịp thời.

 

Điều 21. Công tác dự phòng đối với thảm họa

1. Các đơn vị căn cứ quy mô và mức độ quan trọng của từng hệ thống CNTT đối với hoạt động của đơn vị để lựa chọn và triển khai giải pháp dự phòng thảm họa phù hợp.

2. Các đơn vị có hệ thống CNTT tập trung phải xây dựng và duy trì hoạt động của trung tâm dự phòng đảm bảo các yêu cầu sau:

a) Ban hành các quy định về quản lý và vận hành trung tâm dự phòng;

b) Trung tâm dự phòng phải đặt cách trung tâm xử lý chính tối thiểu 30 km tính theo đường thẳng nối giữa hai trung tâm;

c) Trung tâm dự phòng phải có đủ năng lực về cơ sở vật chất, kỹ thuật, con người sẵn sàng đảm nhận toàn bộ vai trò của trung tâm xử lý chính khi cần thiết;

d) Hệ thống cung cấp nguồn điện bao gồm lưới điện quốc gia, máy phát điện, bộ tích điện và được thiết kế tự động đảm bảo cung cấp nguồn điện ổn định, liên tục, đáp ứng yêu cầu hoạt động 24 giờ/ngày và 7 ngày/tuần;

đ) Cơ sở dữ liệu hoạt động nghiệp vụ được lưu trữ tức thời từ trung tâm chính sang trung tâm dự phòng;

e) Tổ chức hệ thống an ninh, đảm bảo an toàn hệ thống trang thiết bị kỹ thuật và dữ liệu của trung tâm;

g) Thời gian đưa trung tâm dự phòng vào hoạt động thay thế hoàn toàn cho trung tâm xử lý chính không quá 04 giờ.

3. Đối với các đơn vị chưa tổ chức hệ thống nghiệp vụ tập trung, tổ chức hệ thống dự phòng phải đảm bảo các yêu cầu sau:

a) Hệ thống dự phòng không được đặt trong cùng toà nhà với hệ thống xử lý chính;

b) Hệ thống dự phòng phải có đủ năng lực kỹ thuật sẵn sàng đảm nhận toàn bộ vai trò của hệ thống chính bị ngừng hoạt động;

c) Thiết kế đường điện tách biệt với hệ thống chính. Trang bị máy phát điện, bộ tích điện cung cấp nguồn điện ổn định, liên tục, đáp ứng yêu cầu xử lý công việc bình thường;

d) Tổ chức bảo vệ an ninh, an toàn tuyệt đối hệ thống trang thiết bị kỹ thuật và dữ liệu;

đ) Cơ sở dữ liệu hoạt động nghiệp vụ được lưu trữ tức thời từ hệ thống chính sang hệ thống dự phòng;

e) Thời gian đưa hệ thống dự phòng vào hoạt động thay thế hoàn toàn cho hệ thống chính không quá 04 giờ.

4. Hoạt động của hệ thống dự phòng:

a) Hoạt động từ hệ thống chính chuyển sang hệ thống dự phòng chỉ được thực hiện trong điều kiện hệ thống chính bị ngừng hoạt động và phải được thủ trưởng đơn vị phê duyệt cho thực hiện;

b) Việc đưa hệ thống dự phòng vào sử dụng phải thực hiện theo đúng kịch bản đã được phê duyệt;

c) Diễn tập chuyển hoạt động từ hệ thống chính sang hệ thống dự phòng phải được thực hiện định kỳ tối thiểu mỗi năm một lần;

d) Hệ thống dự phòng phải được kiểm tra, giám sát đảm bảo vận hành tốt.

5. Tiến độ triển khai hệ thống dự phòng:

Các đơn vị phải có kế hoạch triển khai hệ thống dự phòng thảm họa cho hệ thống CNTT theo đúng tiến độ do Ngân hàng Nhà nước quy định.

 

Điều 22. Yêu cầu và trách nhiệm của người vận hành

1. Phải được trang bị các kiến thức cơ bản về CNTT: mạng máy tính (máy chủ, máy trạm làm việc và các thiết bị mạng), hệ điều hành, cơ sở dữ liệu đang sử dụng.

2. Đã qua các khoá đào tạo, tập huấn về nghiệp vụ được giao vận hành.

3. Chỉ được thực hiện những công việc được giao, tuân thủ đúng quy trình kỹ thuật nghiệp vụ, quy trình kỹ thuật vận hành.

4. Phải chịu trách nhiệm về những sai sót, chậm trễ, mất an toàn do chủ quan mình gây ra.

5. Có trách nhiệm thông báo kịp thời cho người quản trị hệ thống về những sự cố đối với hệ thống CNTT nếu có.

 

Điều 23. Kiểm tra nội bộ

1. Các đơn vị phải tự tổ chức kiểm tra việc tuân thủ các quy định về an toàn, bảo mật hệ thống CNTT theo các quy định tại Quy chế này tối thiểu mỗi năm một lần.

2. Nội dung kiểm tra:

a) Đánh giá chính sách an ninh CNTT;

b) Kiểm tra tuân thủ chính sách an ninh CNTT;

c) Đánh giá những rủi ro có thể xảy ra và kiến nghị xử lý;

d) Trường hợp kiểm tra phát hiện những vi phạm hoặc dấu hiệu có thể dẫn đến mất an toàn, trong báo cáo kiểm tra phải liệt kê cụ thể danh mục những vấn đề đó, đánh giá mức độ ảnh hưởng của nó đối với hoạt động của đơn vị và dự kiến thời gian phải được hoàn tất xử lý đối với từng vấn đề;

đ) Nội dung kiểm tra phải được lập thành báo cáo gửi các cấp có thẩm quyền.

3. Trách nhiệm của thủ trưởng đơn vị:

a) Chỉ đạo, kiểm tra và tạo điều kiện cho bộ phận quản lý CNTT và các bộ phận liên quan có kế hoạch khắc phục ngay các kiến nghị sau kiểm tra;

b) Kiểm tra việc thực hiện các kiến nghị theo kế hoạch;

c) Xác định nguyên nhân và trách nhiệm của cá nhân, tổ chức đối với những kiến nghị kiểm tra không được xử lý từ các lần kiểm tra trước nếu có.

 

Điều 24. Kiểm tra, bảo trì hệ thống CNTT

1. Các đơn vị phải xây dựng kế hoạch kiểm tra, bảo trì thường xuyên để đảm bảo hệ thống CNTT hoạt động liên tục, ổn định và an toàn. Hàng năm, bố trí kinh phí, nguồn lực thích hợp cho công tác bảo trì.

2. Mọi hệ thống CNTT phải được bảo trì theo định kỳ. Tuỳ theo mức độ quan trọng của mỗi hệ thống CNTT đối với hoạt động của đơn vị để lập và triển khai cấp độ bảo trì phù hợp, nhưng đối với mỗi hệ thống ít nhất mỗi năm phải thực hiện bảo trì một lần.

3. Các trang thiết bị CNTT phải được duy trì mức công suất dự phòng tối thiểu là 20 phần trăm so với yêu cầu xử lý tại thời điểm sử dụng cao nhất.

4. Nhật ký bảo trì:

a) Toàn bộ quá trình bảo trì của hệ thống CNTT phải được ghi sổ nhật ký theo dõi các thay đổi về thiết kế, cấu hình của hệ thống CNTT trong những lần sửa chữa, nâng cấp, thay thế hoặc lắp đặt mới;

b) Các tệp nhật ký của hệ thống phải được xem xét thường xuyên, lưu trữ có hệ thống và phân tích theo nhiều góc độ khác nhau. Trên cơ sở đó phát hiện và khắc phục kịp thời những sự cố, biểu hiện mất an toàn.

5. Công tác bảo trì:

a) Công tác bảo trì phải được tiến hành có kế hoạch, có kịch bản, đảm bảo hoạt động bảo trì không ảnh hưởng đến các hoạt động nghiệp vụ bình thường của đơn vị;

b) Các trang thiết bị, phần mềm, cơ sở dữ liệu phải được kiểm tra, theo dõi và xử lý kịp thời các hư hỏng, biểu hiện mất ổn định hoặc quá tải; cập nhật kịp thời các bản vá lỗi, lấp các lỗ hổng về an ninh.

c) Kiểm tra, giám sát đơn vị bảo trì bên ngoài thực hiện bảo trì theo đúng kịch bản đã được đơn vị phê duyệt.

 

Điều 25. Báo cáo về an ninh CNTT

1. Các đơn vị có trách nhiệm báo cáo bằng văn bản hoặc bằng file báo cáo điện tử về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học Ngân hàng) các báo cáo sau đây:

a) Báo cáo kiểm tra nội bộ của đơn vị theo quy định tại Điều 23 của Quy chế này. Thời hạn báo cáo chậm nhất là 60 ngày kể từ thời điểm hoàn thành kiểm tra;

b) Báo cáo đột xuất các vụ, việc mất an toàn đối với hệ thống CNTT của đơn vị. Nội dung báo cáo thực hiện theo khoản 2 của Điều này. Thời hạn báo cáo chậm nhất là 30 ngày kể từ thời điểm vụ, việc được đơn vị phát hiện.

2. Nội dung báo cáo đột xuất:

a) Ngày, địa điểm phát sinh vụ, việc;

b) Nguyên nhân vụ, việc;

c) Đánh giá rủi ro, ảnh hưởng đối với hệ thống CNTT và nghiệp vụ tại nơi xảy ra vụ, việc và những địa điểm khác có liên quan;

d) Các biện pháp đơn vị đã tiến hành để ngăn chặn, khắc phục và phòng ngừa rủi ro;

đ) Kiến nghị, đề xuất với Ngân hàng Nhà nước.

CHƯƠNG III
ĐIỀU KHOẢN THI HÀNH

 

Điều 26. Xử lý vi phạm

Các hành vi vi phạm quy định tại Quy chế này, tuỳ theo mức độ vi phạm mà bị xử lý theo các quy định của pháp luật.

 

Điều 27. Trách nhiệm thi hành

1. Cục Công nghệ tin học Ngân hàng có trách nhiệm hướng dẫn, theo dõi và kiểm tra việc chấp hành Quy chế này của các đơn vị thuộc Ngân hàng Nhà nước và các tổ chức tín dụng.

2. Thanh tra Ngân hàng Nhà nước có trách nhiệm phối hợp với Cục Công nghệ tin học Ngân hàng kiểm tra việc chấp hành Quy chế này của các tổ chức tín dụng.

3. Vụ Tổng kiểm soát có trách nhiệm chỉ đạo hoạt động kiểm tra nội bộ và thực hiện kiểm toán nội bộ việc chấp hành Quy chế này đối với các đơn vị thuộc hệ thống Ngân hàng Nhà nước.

4. Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước, Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương, Chủ tịch Hội đồng quản trị, Tổng giám đốc (Giám đốc) các tổ chức tín dụng có trách nhiệm tổ chức triển khai và kiểm tra việc chấp hành tại đơn vị mình theo đúng các quy định của Quy chế này.

 

Điều 28. Việc sửa đổi, bổ sung Quy chế này do Thống đốc Ngân hàng Nhà nước quyết định.

 

KT.THỐNG ĐỐC

Phó thống đốc

Phùng Khắc Kế

LuatVietnam.vn độc quyền cung cấp bản dịch chính thống Công báo tiếng Anh của Thông Tấn Xã Việt Nam.
Tình trạng hiệu lực: Đã biết

THE STATE BANK OF VIETNAM
-------------

SOCIALIST REPUBLIC OF VIETNAM
Independence – Freedom – Happiness
---------------

No. 04/2006/QD-NHNN

Hanoi, January 18, 2006

 

DECISION

ON THE ISSUANCE OF THE REGULATION ON THE PRUDENCE AND CONFIDENTIALITY OF THE INFORMATICS TECHNOLOGY SYSTEM IN BANKING AREA

THE GOVERNOR OF THE STATE BANK

- Pursuant to the Law on the State Bank of Vietnam issued  in 1997; the Law on the amendment, supplement of several articles of the Law on the State Bank of Vietnam issued in 2003;

- Pursuant to the Law on Credit Institutions issued in 1997; the Law on the amendment, supplement of several articles of the Law on Credit Institutions issued in 2004;

- Pursuant to the Ordinance on State secret preservation No.03/2000/PL-UBTVQH10 dated 28/12/2000 of the Standing Committee of the National Assembly;

- Pursuant to the Decree No.33/2002/ND-CP dated 28/03/2002 of the Government providing in details for the implementation of the Ordinance on State secret preservation;

- Pursuant to the Decree No. 52/2003/ND-CP dated 19/5/2003 of the Government providing for the function, assignment, authority and organizational structure of the State Bank of Vietnam;
Upon the proposal of the Director of the Banking Informatics Technology Department,

DECIDES:

Article 1. To issue in conjunction with this Decision the “Regulation on the prudence, confidentiality of the informatics technology system in Banking area”.

Article 2. This Decision shall be effective after 15 days since its publication in the Official Gazette.

Article 3. The Director of Administrative Department, the Director of the Banking Informatics Technology Department, Heads of units of the State Bank, Managers of the State Bank’s branches in provinces, cities under the Central Government’s management, Chairperson of the Board of Directors, General Directors (Directors) of credit institutions shall be responsible for the implementation of this Decision.

 

 

FOR THE GOVERNOR OF THE STATE BANK OF VIETNAM
DEPUTY GOVERNOR




Phung Khac Ke

 

REGULATION

ON THE PRUDENCE, CONFIDENTIALITY OF THE INFORMATICS TECHNOLOGY SYSTEM IN BANKING AREA
(Issued in conjunction with the Decision No.04/2006/QD-NHNN dated 18/01/2006 of the Governor of the State Bank)

Chapter I

GENERAL PROVISIONS

Article 1. Governing scope

This Regulation provides for requirements for the users and basic criteria of the prudential technique of the informatics technology system of the State Bank and Credit Institutions except for the Local People’s Credit Funds (hereinafter referred to as units), for the purpose of unifying the management of the application of informatics technology in banking activities in a prudential and efficient way.

Article 2. Interpretation

1. Informatics technology system (IT) is a structural group of equipment of hardware, software, database and the network system serving one or several technical, operational activities.

2. Fire wall is a group of components or a system of equipment, software being set between the two networks for the purpose of controlling the entire connections from the inside to the outside of the network or vice versa.

3. The integrity of the data is the existent status of the data like they are in the original documents and not changed in terms of data, structure or the data of which is not lost.

4. Configuration management is the management of changes in hardware, software, technical documents, checking tool, connection interface, operating technical procedure, installation configuration and all other changes of the IT system during the process from the installation to the operation.

5. Archive is to create a copy of the software or data for the purpose of the preservation against losses, corruption of the original software, data.

6. Virus is a computer program which is able to multiply, transmit in the computer network or through information carriers, can destroy data or do some unexpected functions for the IT system.

7. Authority grant: is the permission grant which is given to an individual in accordance with the organizational procedure which has been previously formed for his access, use of a program or a process of the IT system.

8. Password is a string of characters or a confirmation mode of the secrecy identification which is used for authenticating the user’s right.

9. Network security system: is a group of fire wall equipment; equipment for controlling, discovering illegal access; software for the administration, following up, recording diary on the status of network security and other equipment which has a function of prudential assurance for the network operation and all of them synchronously operate under a consistent network security policy for close control over the activities in the network.

10. Scenario is a group of requirements, procedures, situations, data and implementation result which is determined in advance, used for the process of examination, installation, warranty, maintenance of IT equipment, software and data.

Article 3. Responsibilities of the units

1. To issue policies on prudence, confidentiality of the IT system (hereinafter referred to as IT security policies), organize the implementation and examination for the implementation of those policies. To update, on regular basis, the IT security policies in line with changes in the IT system of the units, running environment and scientific technical advances in the IT security area.

2. To arrange necessary resources for carrying out the equipment, deployment, running, management, supervision and processing of breakdowns in the activity of IT application,  ensuring the confidential, prudential operation of the IT systems and corresponding with the requirements of operational activities and the IT security strategy of their units. To take preventive measures, to detect and timely deal with frauds, errors, instability and other extraordinary, unsafe elements.

3. To organize an appropriate IT security management division for uniform management, deployment of IT security activities from the stage of plan preparation, designing, installation deployment to the running stage of the IT system in line with the provisions in this document. To select, train an IT system administrator who satisfies such standards as: having professional virtue, being knowledgeable of IT security and equipped with knowledge concerning operational activities and the IT system of the units. Decision on the assignment of administration duty for the IT system must be made in writing.

4. To ensure that the IT system is always ready at the high level; to set up, test backup plans and restore the system in the event of breakdowns or disaster.

5. To assess the ability, feasibility, risks relating to IT activities supplied by external partners; to set up agreements to clearly define the relationship, obligations and responsibilities of the parties participating in the IT service supply such as: level of service supply, expected running result, ability of implementation, ability of expansion, compliance level, backup plan, backup levels, prudence and confidentiality, service suspension, control over obligations of contract implementation and relationship with related IT systems.

6. To organize, on regular basis, training courses to update users’ the knowledge about IT security in line with the duties they are in charge of;

7. Equipments, software, data used in the operational activities must be supported by the copyright in accordance with provisions of applicable laws

Article 4. Requirements of information security

1. Secrecy: incompetent persons shall not be entitled to access the information

2. Intactness: incompetent persons shall not be entitled to modify, delete or supplement the information

3. Readiness: information shall be always ready to satisfy using demand of competent persons

4. Non-negation: Information creator shall not be permitted to deny his responsibility for the information he created

5. Truthfulness: source of information must be clearly defined

Article 5. Determination of security requirements of the IT system

The classification of requirements, levels of investment in the security of the IT system of the units shall be clearly determined based on the following elements:

1. Role of the IT system in the implementation of the units’ targets

2. Source, danger to occur risks for the IT system

3. Ability to overcome in case of risk

4. Level of risk which is acceptable

5. Effect of risks, if any, on the activities of the units in particular and general activities of banking industry.

Article 6. Acts to be strictly forbidden

1. Not to comply with provisions on the security of the IT system of the State, industry and of the units;

2. To access, supply and disperse information illegally

3. To disclose the system architecture, algorithm of the IT security system

4. To illegally modify the architecture, operating mechanism of the IT system

5. To use IT equipments of the units for individual purposes

6. Other acts that obstruct, destroy the operation of the IT system

Chapter II

Specific provisions

Article 7. Management, authentication of users in the IT system

1. All the IT systems must be capable of management and authentication of the users who are accessing those systems

2. Activities of transactions which are processed centrally and immediately through the computer network shall be organized based on the system of management, authentication of centralized users

3. Processes, programs, instruments, algorithm used to set up password, identification device and key database which is used to check the access shall be managed, used under the “Confidential” regime

4. Requirements for the organization of the authentication system:

a. Having separate process on management and authentication of the users for each IT system in line with the requirements of prudence, confidentiality of above-mentioned processing operation;

b. Authenticating the access right of the users by account, identification device or by both; and the users shall only be granted enough authority to perform their assigned tasks;

c. Password, identification data used for the access authentication shall be kept secret during the process of archive, transmission through the network and displayed on the users’ monitor;

d. The environment where the authentication equipments are located must be secret, prudential for the use of code, identification device;

dd. Checking and timely rejecting the users who are not competent to work on the IT system

e. Temporarily suspending the working right of the users who have been registered on the IT system, but are not temporarily working on this system within a period of 60 days upwards;

g. On weekly basis, examining the system-access diary, detecting and timely dealing with cases which illegally access or carry out manipulation acts beyond the assigned limit of the users.

Article 8. Methods of authentication

1. Authentication by identification (ID) and password must satisfy the following requirements:

a. A password must have the length of 6 characters upwards, consist of numbers, letters and other special characters if permitted by the system. Requirements of valid password shall be automatically checked upon setting up the password;

b. Default passwords availably installed on equipments, software, databases by the producer must be changed right after they are put into use

c. Software on management of passwords must contain such functions as: informing users to change their passwords which are about to expire; canceling the effectiveness of expired passwords, permitting the users to change passwords which have been revealed, are likely to be revealed or upon request of the users; preventing users from reusing old passwords in a certain time.

2. Authentication by card must clearly provide for responsibilities of parties that issue and use cards

3. Authentication by biometric method must ensure the prudence of the users during the collection of biometric elements

4. Authentication by public key infrastructure (PKI) must perform the following requirements:

a. Checking subjects applying for the grant of number certificate and key code legally and validly

b. Checking the validity of the number certificate prior to examining, accepting transactions which use the number certificate

c. Controlling, timely updating into databases cancelled number certificates to avoid being benefited;

d. Having measures for protecting the prudence of root key and equipments of the number certificate system;

dd. Recording diary on the entire process of granting, changing, canceling the number certificates and key codes;

e. Examining extraordinary events, on regular basis, of the number certificate system to timely detect changes and illegal access.

Article 9. Controlling the access to the IT system

1. All IT systems shall be set up a function of access control, warning, preventing users from illegal access or misusing their function, authority in the system

2. The system of access control must have the following functions:

a. Automatically suspending the system access by the users if they have illegally accessed the system three consecutive times in a predetermined period of time. All unsuccessful accesses shall be automatically recorded in the diary;

b. Managing, authenticating the connection of terminal devices as well as accepting the internal devices to carry out the connection;

c. Not permitting the users, except for system administrator, to concurrently access several terminal devices at a certain time;

d. The terminal devices shall be automatically installed to convert to non-operating status, locked monitor status with password or automatically escape from the system after a period of time of non-use.

Article 10. Data encryption

1. The sensitive, important data which is transmitted on the computer network shall be encrypted

2. Only encryption techniques that have been tested, assessed as reliable enough by prestigious IT security organizations in the country or in the world. The complication of selective encryption algorithm must be in line with the confidential level of data that needs protecting and processing ability of the IT system;

3. Secret elements used for encryption technique must be independently installed from supplier and changed on annual basis at the minimum

4. Equipment, software used for encryption solution must be concurrently archived with encrypted data; or convert the encrypted data to new data type in the event of any change in encryption method in order to ensure the original data restoring from data of encryption type at any time;

5. The encryption solution which is in use must be regularly checked, assessed in terms of the prudential level and shortcomings (if any) of which must be timely dealt with.

Article 11. Recording supervision diary for activities

1. The IT systems must have a function of recording supervision diary for activities of those systems. Clock of equipments in the same IT system must be synchronized from a source for ensuring the accuracy of supervision diary.

2. Accesses and manipulation acts that affect the operation of the system shall be recorded in the diary. Diary file must be protected from any change

3. The Head of units shall provide for the regime on diary record, archive time of diary file for each IT system in order to supervise the system’s activities and support the audit work.

4. System administrator shall be responsible for examining diary files of the system on regular basis in order to detect, settle and timely prevent breakdowns resulting in unsafeness, instability of the IT system

Article 12. Physical safety

1. Server room and other areas where IT equipments are situated, used must have regulations and take measures for protection, entry and exit control to ensure that only persons with duty can enter into those areas

2. All works carried out in the server room shall be recorded in daily working diary

3. Computer room must ensure industrial hygiene: not dilapidated, unabsorbed; the equipments are installed on the technical floor, not directly contact the sunshine; humidity, temperature satisfy standards provided for the equipments and server; to be fully equipped with devices for preventing and protecting fire, explosion, flood, anti-thunder system and security system for preventing illegal access

4. It is required to take measures for supervision, security protection, and prevention from illegal access and management of the use of the equipments used for installation outside the units’ office

5. The users must logout from the system when they leave their working position

6. Programs, data of the units, which are likely to be benefited, must be rejected when handing over the equipments containing those programs, data to external units or upon making assess liquidation

7. Power source supplied to the IT system:

a. The server room must be equipped with a separate power source with industrial technical standards which are in line with the equipments installed in the computer room

b. Backup power source must meet the standard, capacity for normal operation of the IT system during the time when the main power source meets breakdown

Article 13. Prudence of the computer network

1. Documents on technique and operation of the computer network system shall consist of the following types:

a. File on the investigation, design and technical explanation of the network;

b. Documents which determine the design of the network to fully meet standards for safe operation through the self-checking, self-assessment of the units or by specialized agency of the State

c. Process on the management and operation of the network

2. Requirements for the security of the computer network:

a. Being able to control, supervise network accesses

b. Being able to prevent illegal accesses;

c. Recording the diary on the network access

d. Having process on breakdown settlement and disaster prevention

dd. Having administrative, technical measures to prevent the illegal access to equipments, network transmitting line

3. Responsibilities of the network users:

a. The network users must register and obtain the using acceptance prior to accessing the network;

b. When detecting any sign of unsafeness, they must immediately inform to the network administrator for settlement

c. They must update new version of anti-virus software and regularly scan virus on the computers connected to the network. They shall not be entitled to change, remove, on their own, programs, technical parameters, which are installed by the administrator

d. They shall not be entitled to use operational processing computers to connect to Internet if they have not yet been determined as fully satisfying conditions of safety protection by IT division of the units

dd. To comply with other provisions of the units in line with the provisions in this Regulation

4. Responsibilities of the network administrator:

a. To check, ensure the safe, stable and continuous operation of the computer network

b. To manage configuration, resources and users on the network

c. To fully setup regimes on network security control. To use equipped tools to check and timely detect weak-points easy to be injured and illegal accesses into the network system. To examine, detect connections, equipments, software illegally installed in the network on regular basis.

d. To detect and timely deal with the gaps in the security of the network system

dd. To guide, support the users to protect accounts, resources on the network, to install the anti-virus software and timely deal with network access breakdowns

e. To check and disconnect computers of the users who fail to comply with provisions of the units on virus prevention and anti-virus and other provisions on the network security

Article 14. Prudence of databases

1. Database administration system used for operations must satisfy the following requirements:

a. It runs on the network and is independent of the server, operating system

b. It runs stably; it can process, archive a great volume of data upon the operational requirement;

c. It can protect and grant  access right for the database resources;

d. It manages, ensures the consistence of relational data tables and of each operational act processed on the database

dd. The system must integrate structured query language tool (SQL)

e. The system must support online archive of database and restoration of database from archived version;

g. The system of is capable of updating new version

2. Only database that has been tested through factual operations of similar credit institutions inside and outside the country shall be used

3. Responsibilities of the database administrator:

a. To maintain the safe, stable and continuous operation of the database system

b. To change default passwords right after the database is put into use

c. To grant the access right of resources to database users

d. To prepare plan of, carry out the data archive and check the archive result;

dd. To check, ensure the entire restoration of the database from the archived version when necessary

e. To strictly manage archived versions to avoid the danger of loss, danger of being changed and illegally exploited;

g. To regularly check the status of database both physically and logically. To timely update error versions from the supplier

Article 15. Prudence of application software

1. General requirements:

a. Technical documents:

- Documents for the software developed by the unit shall include: requirements for the users, system design analysis, deployment, test, development process, version management and guidance on the operation;

- Documents attached to packed software, which is supplied by external supplier, shall include technical documents and the documents guiding the use of software

b. The software must integrate solutions of authentication, access control and data encryption in accordance with the provisions in Article 8, Article 9 and Article 10 of this Regulation;

c. The software must run stably, process data accurately and ensure the consistence of the data;

d. Operational software and technical documents must be duplicated and safely archived at two separate places at the minimum

2. Analysis, design and software writing

a. Requirements on prudence, confidentiality of operations must be determined in advance and organized, deployed in an entire process of software development from the analysis to deployment and running;

b. Documents on prudence, confidentiality of the software must be systematized and archived, used under the “Confidential” regime

3. Check, test of software

All software must experience the following test and trial steps before being deployed and put into use:

a. Preparing and approving trial plan, scenarios. The trial must ensure not to affect normal activity of the operations and other IT systems;

b. Carrying out the trial on a separate environment. Preparing a report on trial result to submit to competent level for their approval and putting into use;

c. The use of real data during the trial process must be supported by preventive measures to avoid being benefited or making mistakes

4. Deploying, running the software:

a. The deployment of the software must not affect the prudence, confidentiality of the available IT systems;

b. Prior to the deployment of the software, all the risks of the deployment process for the operational activities, related IT systems must be assessed then drawing up and deploying solutions for restraining and overcoming risks

5. Management of software version

a. In respect of the request for the change of software, it is required to analyze, assess the effect of the change on the operation and other related IT systems of the units;

b. After software versions are successfully tested they must be strictly managed to avoid being illegally modified and to be ready for the deployment

c. There must be clear instructions on changing contents, guidance on the software update and other related information attached to the new software version

d. Only the software version that the Head of the unit has approved for deployment shall be deployed and put into operation

6. Management of software source code

a. Source codes of the software shall be strictly managed to avoid being used or modified illegally

b. There must have agreements on the management, correction of the source codes used for the maintenance in case where those softwares are developed by external partners and the source codes of which are not handed over

7. To comply with other provisions on prudence, confidentiality stipulated in the Decision No. 1630/2003/QD-NHNN dated 19/12/2003 of the Governor of the State Bank of Vietnam issuing the regulation on technical standards in the processing, procurement of banking operation software

Article 16. Prudence of the operating system of the server

1. The operating system to be selected must satisfy the following requirements:

a. It can run safely and stably;

b. Its readiness is high

c. It can manage the users, protect and grant the resource access right

d. It shall record the working diary of the system

dd. It must update the new version

e. It must check, restore the system in the event of breakdown

2. Only the operating system that has experienced the factual operations of similar organizations inside and outside the country shall be used

3. Responsibilities of the operating system administrator

a. To ensure that the operating system which is installed on the server can work continuously, stably and safely

b. To regularly check configuration, files on working diary of the operating system, timely detect and deal with breakdowns if any;

c. To grant access right and manage the access of the users on the server which install the operating system

d. To manage changes in technical configurations of the operating system

dd. To regularly update error versions of the operating system from the supplier;

e. To reject unnecessary services of the operating system and those the operating system has no demand for use

Article 17. Prevention from computer virus and anti-virus

1. The units must deploy the virus prevention and anti-virus for their entire IT systems. To follow up and timely give notice to the users of new viruses and the way of prevention

2. Responsibilities for the virus prevention and anti-virus of the users

a. To regularly check and delete virus

b. Software, data and information carriers received from the outside must be scanned prior to using

c. It is not permitted to open strange mail, attached files or links in strange mails for preventing virus

d. It is not permitted to access website without clear origin

dd. To timely update types of virus and new anti-virus software

e. In case where virus is detected but cannot be deleted, the user must immediately inform to the system administrator for settlement

Article 18. Connecting, exchanging data with external units

1. The connection with the outside shall be carried out under the principle of not affecting the security and normal operation of the network system of the units

2. Local area network system of the units shall be separated physically or logically from the externally connected network

3. The connection, data exchange with the outside shall be provided in details in terms of connection standards, services to be used, access right, data syntax and exchanging process

4. Steps of connection deployment

a. To investigate, design system configuration, connection method and services to be used on the network

b. To analyze effects, danger of unsafeness and select an appropriate security solution, prevent from illegal access

c. To submit to the Head of the units for approving the connection plan, the way of data exchange

d. To install, check, test successfully then put into official operation

dd. To deploy measures of preventing from illegal penetration from the outside

Article 19. Internet connection

1. The units must issue internal regulations on management and use of Internet, ensuring the safe, efficient use of Internet and compliance with provisions of applicable Laws.

2. Computers used for Internet connection must be labeled for easy recognition and shall not be directly connected to the operation processing network if the IT division of the units has not yet determined that they have fully satisfied conditions of prudence protection. It is not permitted to archive the documents, data belonging to the State Secret in the computers which are connected to Internet

3. In case where there is a design of separate network system used for Internet connection of many users, that network system must ensure the following requirements:

a. The network separately used for Internet connection must be separated physically from the operation processing network or they must be separated by a firewall system which is fully capable of controlling entire accesses between the two networks and must ensure the prudence of operation of the software, data in the operation network

b. Sockets specially used for Internet connection must be labeled to help the users easily recognize that it is an Internet connection port

c. There must have a system of supervision, management of the Internet users, management of bands and time of Internet exploitation

4. Responsibilities of the Internet users

a. To be responsible for protecting the network system of the units, to be watchful over the flip side of Internet. To take full responsibility under provisions of applicable laws if screening or permitting other to use their equipment, password for carrying out illegal acts

b. To be subject to the examination, supervision of the units and functional agencies of the State for the information sent to Internet and take legal responsibility for that information

c. To manage their account on their own and be responsible for changing password at least every 6 months to avoid being revealed;

d. To be responsible for compliance with provisions on the content of information posted in the Internet and undertaking to correctly comply with those provisions

dd. Not to be permitted to commit acts that obstruct or destroy Internet’s activities; not to be permitted to affect other information system through Internet, or violate interests, honour of other individuals

e. Not to use instruments, software and technical measures in any form to appropriate transmission line bands, to make network blocked;

g. To comply with internal regulation on using Internet of the units and provisions of the State, of the industry on exploitation and use of Internet

Article 20. Data archive

1. Requirements of the archive system:

a. Ensuring the integrity and sufficiency of archived data during the archive period in accordance with applicable provisions;

b. Each type of data must be archived correctly and in full period of time in accordance with provisions of the State and the industry;

c. The data which are necessary for the maintenance or restoration of the unit’s operation, in case of breakdown, must be archived in two separate places at the minimum;

d. When necessary, the archived data should be convertible into the original data as before being saved.

2. Responsibilities of the units:

a. To have a plan on equipment, technical process on archive, checking, preservation and exploitation of archived data which is approved by a competent authority;

b. To ensure conditions of place, environment for archive, preservation of information carrier in a prudential and scientific manner;

c. To maintain equipments, software used for archive, exploitation in a simultaneous way with the archived data or to convert the archived data in line with changes of the archive solution so as to ensure that the archived data is exploited at any time;

d. To stipulate scope, frequency of archive in line with each type of operational data so that it can restore, maintain the continuous activity of the operation in case where the major operating data meets breakdowns;

dd. To control and reconcile data against the related operational processing phases for the purpose of ensuring the accuracy, correctness and sufficiency of the data prior to the archive;

e. To record in the book to follow up the place, time, list of data, the person who performs the archive and exploitation of data;

g. To issue and deploy the archive process: copying and saving data; exploiting the archived data; checking, supervising the prudence of the archived data; method of preventing and overcoming risk for the archived data; to destroy the archived data which expires; and other contents relating to the techniques of prudential and efficient archive and preservation of archived data;

h. To comply with other provisions of the State and Banking area on the preservation, archive of electronic vouchers.

3. Responsibilities of the division, which, individual, who is assigned with the archive duty:

a. To correctly comply with provisions on archive, preservation of the archived data and take responsibility for the risk of the archived data caused by their subjective reasons;

b. Not entitled to permit any organization, individual to exploit, use the archived data without a written approval of the leader of their organization or an authorized person;

c. In case of risk or detecting a danger of risk for the archived electronic data, to make a report immediately to a competent person for a timely method of settling and overcoming.

Article 21. Standby activity against disaster

1. Units shall, upon the scale and importance of each IT system for the operation of the unit, choose and deploy an appropriate standby solution against disaster.

2. Units, which have a centralized IT system, must build up and maintain the operation of a standby center satisfying the following requirements:

a. Issuing provisions on management and operation of the backup center;

b. The backup center must be located at least 30 km far from the main processing center under the straight line connecting between the two centers;

c. The standby center must have full capacity of material, technical foundation and human resources, be ready to undertake all the role of the main processing center where required;

d. The power supply system including national grid, electric generator, automatically designed electric charging device must ensure the supply of continuous and stable power source, satisfying the operating requirement: 24 hours per day and 7 days per week

dd. The database for operational activities shall be immediately archived from the major center to the standby center;

e. Organizing a security system to ensure the prudence for the data and technical equipment system of the center;

e. The time for putting the standby center into operation to absolutely replace the main processing center shall not be in excess of 04 hours.

3. For units, which have not organized a centralized operation system, the organization of the standby system must satisfy the following requirements:

a. The standby system shall not be located in the same building with the main processing system;

b. The standby system must have full technical capacity, be ready to undertake all the role of the main system, which terminates the operation;

c. The design of wire line must be separated from the main system. To equip the electric generator, electric charging device for supplying a continuous, stable power source which satisfies the normal requirement of work settlement;

d. To organize the absolute security, safety for the data and technical equipment system;

dd. The database of the operational activities must be at once copied for backup from the main center to the standby center;

e. The time for putting the standby center into operation to absolutely replace the main center shall not be in excess of 04 hours.

4. Operation of the standby system:

a. Operation from the main system to the standby system shall only be performed in the situation where the main system terminates operation and must be approved by the head of the unit for the performance;

b. The standby system shall be put into practice in compliance with the approved scenarios;

c. The exercise of changing the operation from the main system to the standby system must be performed on the annual basis at the minimum;

d. The standby system must be inspected, supervised to ensure a good operation.

5. Deployment rate of the standby system:

Units should have a plan on the deployment of the standby system against the disaster for the IT system in line with the rate of progress provided for by the State Bank.

Article 22. Requirements and responsibilities of the operators

1. They must be equipped with basic knowledge about IT: computer network (Server, clients and net equipment), operating system, and database in use.

2. They have experienced training, practice courses about the assigned operations

3. They shall be only entitled to perform the assigned works, comply with the operational, technical process, the running technical process.

4. They shall take responsibility for the error, lateness, unsafeness caused by their subjective reasons.

5. They shall be responsible for timely informing the administrator of the system about the breakdown of the IT system if any.

Article 23. Internal inspection

1. Units shall organize by themselves the inspection of the compliance with provisions on the prudence, confidentiality of the IT system in accordance with provisions of this Regulation on the annual basis at the minimum.

2. Inspection contents:

a. Evaluating the policy on the IT security;

b. Inspecting the compliance with the policy on the IT security;

c. Evaluating risk which may occur and suggesting treatment

d. In case where any violations or signals which may cause unsafeness are detected during inspection, they must be listed in details in the inspection report and their impact on the operation of the units shall be assessed and the expected time for completing the treatment of each problem should be planned;

dd. The inspection contents must be stated in the report and submitted to competent levels.

3. Responsibilities of the head of units:

a. To conduct, inspect and facilitate the IT management division and related divisions to have a plan of immediately overcoming the petitions after the inspection;

b. To inspect the performance of petition under the plan;

c. To determine the reason and responsibility of individuals, organizations in respect of inspection petitions which have not yet been settled from the previous inspection if any.

Article 24. Inspection, maintenance of the IT system

1. Units shall set up a plan on the regular inspection, maintenance in order to ensure a continuous, stable and prudential operation of the IT system. On an annual basis, to arrange appropriate expense, resources for the maintenance activity.

2. All IT systems must be periodically maintained. Upon the importance of each IT system to the operation of the unit, an appropriate maintenance level shall be set up and carried out, providing that each system shall be maintained at least once a year

3. Minimum standby capacity of IT equipments must be kept at least equivalent to 20% against the processing requirements at the peak time.

4. Maintenance diary

a. The entire maintenance process of the IT system must be recorded in a diary to follow up changes in design, configuration of the IT system during the repair, upgrading, replacement or new installation;

b. Diary files of a system must be examined regularly, systematically saved and analyzed under different ways. On that basis, breakdown, signal of unsafeness shall be timely found out and overcome.

5. Maintenance activity:

a. Maintenance activity must be performed under plan, scenarios, ensuring that the maintenance activity has no effect to the normal operational activities of the unit;

b. Equipment, software, database must be checked, supervised and timely dealt with breakdown, signal of instability or overload; timely updating error version and filling up the gaps in security.

c. Inspecting, supervising external maintenance units for carrying out the maintenance in conformity with the approved scenarios.

Article 25. Making report on the IT security

1. Units shall be responsible for making the following written reports or electronic reports to the State Bank of Vietnam (the Banking Informatics Technology Department):

a. An internal inspection report of the unit in accordance with provisions in Article 23 of this Regulation. The reporting period shall be 60 days at the latest since the completion of the inspection;

b. Unexpected report on cases of unsafeness for the IT system of the unit. Reporting contents shall be performed in accordance with provisions in Paragraph 2 of this Article. The reporting period shall be 30 days at the latest since the time where the cases are found out by the unit.

2. Contents of unexpected report:

a. Date, place where the case occurs;

b. Reason of the case;

c. Evaluation of the risk, effect to the IT system and operations at the place where the case occurs and other related places;

d. Methods performed by the unit to stop, overcome and prevent risk;

dd. Proposal, suggestion to the State Bank.

Chapter III

IMPLEMENTING PROVISIONS

Article 26. Dealing with violation

Any act of violating provisions of this Regulation, depending on the seriousness of the violation, shall be dealt with in accordance with provisions of applicable laws.

Article 27. Implementing responsibilities

1. The Banking Informatics Technology Department shall be responsible for providing guidance on, following up and examining the compliance with this Regulation by units of the State Bank and credit institutions.

2. The State Bank’s Inspectorate shall be responsible for the coordination with the Banking Informatics Technology Department to inspect the compliance with this Regulation by credit institutions.

3. The General Control Department shall be responsible for conducting the internal inspection activity and performing the internal audit for the compliance with this Regulation by units of the State Bank.

4. Heads of units of the State Bank, Manager of the State Bank branches in provinces, cities under the Central Government’s management, Chairperson of the Board of Directors, General Director (Director) of credit institutions shall be responsible for the deployment and inspection of the compliance with the provisions of this Regulation in their units.

Article 28. Any amendment, supplement of this Regulation shall be decided upon by the Governor of the State Bank.

Vui lòng Đăng nhập tài khoản gói Nâng cao để xem đầy đủ bản dịch.

Chưa có tài khoản? Đăng ký tại đây

Lược đồ

Vui lòng Đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Lược đồ.

Chưa có tài khoản? Đăng ký tại đây

Văn bản đã hết hiệu lực. Quý khách vui lòng tham khảo Văn bản thay thế tại mục Hiệu lực và Lược đồ.
văn bản TIẾNG ANH
Bản dịch tham khảo
Decision 04/2006/QD-NHNN DOC (Word)
Vui lòng Đăng nhập tài khoản gói Tiếng Anh hoặc Nâng cao để tải file.

Chưa có tài khoản? Đăng ký tại đây

* Lưu ý: Để đọc được văn bản tải trên Luatvietnam.vn, bạn cần cài phần mềm đọc file DOC, DOCX và phần mềm đọc file PDF.

Để được giải đáp thắc mắc, vui lòng gọi

19006192

Theo dõi LuatVietnam trên

TẠI ĐÂY

văn bản cùng lĩnh vực
văn bản mới nhất