Đảm bảo an toàn hệ thống thông tin trong hoạt động ngân hàng
Chính sách mới - Ngày đăng : 10:00, 03/11/2020
Thông tư 09 áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng, Công ty Cổ phần Thanh toán Quốc gia Việt Nam, Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam, Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam (sau đây gọi chung là tổ chức) có thiết lập và sử dụng hệ thống thông tin phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của tổ chức.
Nguyên tắc chung là tổ chức có trách nhiệm bảo đảm an toàn thông tin theo nguyên tắc xác định rõ quyền hạn, trách nhiệm từng bộ phận và cá nhân trong tổ chức. Việc xây dựng, triển khai quy chế an toàn thông tin được thực hiện trên cơ sở các quy định tại Thông tư này và hài hòa giữa lợi ích, chi phí và cấp độ chấp nhận rủi ro của tổ chức.
Thông tư này quy định những yêu cầu tối thiểu về bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng. Theo đó, thông tin xử lý, lưu trữ thông qua hệ thống thông tin được phân loại theo thuộc tính bí mật (thông tin công cộng, thông tin riêng, thông tin cá nhân, thông tin mật). Trong đó, thông tin bí mật là: a - Thông tin Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước; b - Thông tin hạn chế tiếp cận theo quy định của tổ chức.
Đối với hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng, các tổ chức thực hiện phân loại theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 1/7/2016 của Chính phủ quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ. Đối với các hệ thống thông tin khác, Thông tư 09 yêu cầu thực hiện phân loại theo 5 cấp độ, gồm:
Hệ thống thông tin cấp độ 1: Hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức và chỉ xử lý thông tin công cộng.
Hệ thống thông tin cấp độ 2: Hệ thống thông tin có một trong các tiêu chí như: Phục vụ hoạt động nội bộ của tổ chức, có xử lý thông tin riêng…; phục vụ khách hàng không yêu cầu vận hành 24/7; phục vụ hoạt động của một số bộ phận thuộc tổ chức hoặc của tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở.
Hệ thống thông tin cấp độ 3: Hệ thống thông tin có một trong các tiêu chí sau: Xử lý thông tin bí mật nhà nước ở cấp độ Mật; phục vụ hoạt động nội bộ hàng ngày của tổ chức và không chấp nhận ngừng vận hành quá 4 giờ làm việc kể từ thời điểm ngừng vận hành; các hệ thống thanh toán sử dụng của bên thứ ba dùng để thanh toán ngoài hệ thống của tổ chức…;
Hệ thống thông tin cấp độ 4: hệ thống thông tin có một trong các tiêu chí sau: Xử lý thông tin bí mật nhà nước ở cấp độ Tối Mật; phục vụ khách hàng có xử lý, lưu trữ dữ liệu của 10 triệu khách hàng trở lên; hệ thống thông tin quốc gia trong ngành Ngân hàng, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; các hệ thống thanh toán quan trọng trong ngành Ngân hàng theo quy định của Ngân hàng Nhà nước…;
Hệ thống thông tin cấp độ 5: Hệ thống thông tin có một trong các tiêu chí sau: Xử lý thông tin bí mật nhà nước ở cấp độ Tuyệt Mật; hệ thống thông tin quốc gia trong ngành Ngân hàng phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế; hệ thống cơ sở hạ tầng thông tin quốc gia trong ngành Ngân hàng phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế.
“Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với một cấp độ khác nhau, cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phần cấu thành”, Thông tư 09 nêu rõ.
Về Quy chế an toàn thông tin, Thông tư 09 quy định: “Tổ chức xây dựng quy chế an toàn thông tin phù hợp với hệ thống thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của tổ chức. Quy chế an toàn thông tin phải được người đại diện hợp pháp ký ban hành và triển khai thực hiện trong toàn tổ chức”.
Quy chế an toàn thông tin tối thiểu gồm các nội dung cơ bản sau: Quản lý tài sản công nghệ thông tin; quản lý nguồn nhân lực; bảo đảm an toàn về mặt vật lý và môi trường lắp đặt; quản lý vận hành và trao đổi thông tin; quản lý truy cập; quản lý sử dụng dịch vụ công nghệ thông tin của bên thứ ba; quản lý tiếp nhận, phát triển, duy trì hệ thống thông tin; quản lý sự cố an toàn thông tin; bảo đảm hoạt động liên tục của hệ thống thông tin; kiểm tra nội bộ và chế độ báo cáo.
Thông tư 09 cũng quy định mỗi tài khoản truy cập hệ thống phải được gán cho một người sử dụng duy nhất; trường hợp chia sẻ tài khoản dùng chung để truy cập hệ thống thông tin thì phải được phê duyệt bởi cấp có thẩm quyền và xác định được trách nhiệm cá nhân tại mỗi thời điểm sử dụng; đối với hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng phải giới hạn và kiểm soát các truy cập sử dụng tài khoản có quyền quản trị.
Khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba, tổ chức bảo đảm các nguyên tắc sau đây: Không làm suy giảm khả năng cung cấp dịch vụ liên tục của tổ chức cho khách hàng; không làm suy giảm việc kiểm soát quy trình nghiệp vụ của tổ chức; không làm thay đổi trách nhiệm của tổ chức trong việc bảo đảm an toàn thông tin; dịch vụ công nghệ thông tin của bên thứ ba phải đáp ứng các quy định về bảo đảm an toàn thông tin của tổ chức.
Thông tư 09 có hiệu lực thi hành kể từ ngày 1/1/2021 (trừ trường hợp quy định tại điểm b khoản 4 Điều 20 có hiệu lực thi hành kể từ ngày 1/1/2022) và thay thế Thông tư 18/2018/TT-NHNN ngày 21/8/2018 của Thống đốc Ngân hàng Nhà nước ban hành Quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng.