Comparison TT18&09

TT 18/2018/TT-NHNN TT 09/2020/TT-NHNN Summarise
Chương I Chương I
Quy định chung Quy định chung
Điều 1. Phạm vi Điều chỉnh và đối Điều 1. Phạm vi điều chỉnh và đối tượng
tượng áp dụng áp dụng
1. Thông tư này quy định về bảo đảm an 1. Thông tư này quy định những yêu cầu tối Những yêu cầu tối
toàn hệ thống thông tin trong hoạt động thiểu về bảo đảm an toàn hệ thống thông tin thiểu.
ngân hàng. trong hoạt động ngân hàng.
2. Thông tư này áp dụng đối với các tổ 2. Thông tư này áp dụng đối với các tổ chức Bổ sung thêm đối
chức tín dụng (trừ quỹ tín dụng nhân dân, tín dụng, chi nhánh ngân hàng nước ngoài, tượng áp dụng, TT
tổ chức tài chính vi mô), chi nhánh ngân các tổ chức cung ứng dịch vụ trung gian điều kiện để những
hàng nước ngoài, các tổ chức cung ứng thanh toán, công ty thông tin tín dụng, đối tượng được liệt
dịch vụ trung gian thanh toán (sau đây gọi Công ty Cổ phần Thanh toán Quốc gia kê phải đáp ứng =>
chung là tổ chức). Việt Nam, Công ty Quản lý tài sản của các đối tượng áp dụng.
tổ chức tín dụng Việt Nam, Nhà máy in
tiền quốc gia, Bảo hiểm tiền gửi Việt Nam
(sau đây gọi chung là tổ chức) có thiết lập
và sử dụng hệ thống thông tin phục vụ cho
một hoặc nhiều hoạt động kỹ thuật,
nghiệp vụ của tổ chức.
Điều 2. Giải thích từ ngữ Điều 2. Giải thích từ ngữ

Trong Thông tư này, các từ ngữ dưới đây
được hiểu như sau:
1. Hệ thống thông tin là một tập hợp N/A
các trang thiết bị phần cứng, phần
mềm, cơ sở dữ liệu và hệ thống mạng
để tạo lập, truyền nhận, thu thập, xử lý,
lưu trữ và trao đổi thông tin số phục vụ
cho một hoặc nhiều hoạt động kỹ
thuật, nghiệp vụ của tổ chức.
2. Tính bí mật của thông tin là bảo đảm N/A
thông tin chỉ được tiếp cận bởi những
người được cấp quyền tương ứng.
3. Tính toàn vẹn của thông tin là bảo vệ N/A
sự chính xác và đầy đủ của thông tin và
thông tin chỉ được thay đổi bởi những
người được cấp quyền.
4. Tính sẵn sàng của thông tin là bảo đảm N/A
những người được cấp quyền có thể truy
xuất thông tin ngay khi có nhu cầu.
5. An toàn thông tin là sự bảo vệ thông tin N/A
số, hệ thống thông tin tránh bị truy nhập,
sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc
phá hoại trái phép nhằm bảo đảm tính bí
mật, tính toàn vẹn và tính sẵn sàng của
thông tin.
6. Rủi ro công nghệ thông tin là khả năng 1. Rủi ro công nghệ thông tin là khả năng
xảy ra tổn thất khi thực hiện các hoạt xảy ra tổn thất khi thực hiện các hoạt động
động liên quan đến hệ thống thông tin. liên quan đến hệ thống thông tin. Rủi ro công
Rủi ro công nghệ thông tin liên quan đến nghệ thông tin liên quan đến quản lý, sử
quản lý, sử dụng phần cứng, phần mềm, dụng phần cứng, phần mềm, truyền thông,
truyền thông, giao diện hệ thống, vận giao diện hệ thống, vận hành và con người.
hành và con người.
7. Sự cố an ninh mạng (cybersecurity 2. Sự cố an toàn thông tin là việc thông tin TT 09 thay đổi:
incident) là việc thông tin số, hệ thống số, hệ thống thông tin bị tấn công hoặc bị gây Cụm từ “sự cố an
thông tin bị tấn công hoặc bị gây nguy nguy hại, ảnh hưởng tới tính nguyên vẹn, ninh mạng” thành
hại, ảnh hưởng tới tính bí mật, tính toàn tính bảo mật hoặc tính khả dụng của cụm từ “sự cố an
vẹn, tính sẵn sàng. thông tin. toàn thông tin”.
Cụm từ “tính bí
mật” thành “tính
bảo mật”.
Cụm từ “tính toàn
vẹn” thành “tính
nguyên vẹn”.
Cụm từ “tính sẵn
sàng” thành “tính
khả dụng”.
8. Điểm yếu về mặt kỹ thuật là thành 3. Điểm yếu về mặt kỹ thuật là thành phần
phần trong hệ thống thông tin dễ bị trong hệ thống thông tin dễ bị khai thác, lợi
khai thác, lợi dụng khi bị tấn công dụng khi bị tấn công hoặc xâm nhập bất hợp
hoặc xâm nhập bất hợp pháp. pháp.
9. Trung tâm dữ liệu bao gồm hạ tầng kỹ 4. Trung tâm dữ liệu bao gồm hạ tầng kỹ
thuật (nhà trạm, hệ thống cáp) và hệ thống thuật (nhà trạm, hệ thống cáp) và hệ thống
máy tính cùng các thiết bị phụ trợ được máy tính cùng các thiết bị phụ trợ được lắp
lắp đặt vào đó để xử lý, lưu trữ, trao đổi đặt vào đó để xử lý, lưu trữ, trao đổi và quản
và quản lý tập trung dữ liệu. lý tập trung dữ liệu.
10. Thiết bị di động là thiết bị số được 5. Thiết bị di động là thiết bị số được thiết kế
thiết kế có thể di chuyển mà không ảnh có thể di chuyển mà không ảnh hưởng tới
hưởng tới khả năng hoạt động, có hệ Điều khả năng hoạt động, có hệ điều hành, có khả
hành, có khả năng xử lý, kết nối mạng và năng xử lý, kết nối mạng và có màn hình
có màn hình hiển thị như máy tính xách hiển thị như máy tính xách tay, máy tính
tay, máy tính bảng, điện thoại di động bảng, điện thoại di động thông minh.
thông minh.
11. Vật mang tin là các phương tiện vật 6. Vật mang tin là các phương tiện vật chất
chất dùng để lưu giữ và truyền nhận thông dùng để lưu giữ và truyền nhận thông tin số.
tin số.
12. Tường lửa là tập hợp các thành 7. Tường lửa là tập hợp các thành phần hay Tường lửa có thể là
phần hoặc một hệ thống các trang thiết một hoặc một số hệ thống các trang thiết bị, “một số” hệ thống
bị, phần mềm được đặt giữa hai mạng, phần mềm được đặt giữa hai mạng, nhằm các trang thiết bị,
nhằm kiểm soát tất cả các kết nối từ kiểm soát tất cả các kết nối từ bên trong ra phần mềm đặt giữa
bên ngoài mạng hoặc ngược lại. hai mạng.
bên trong ra bên ngoài mạng hoặc
ngược lại.
13. Mạng không tin cậy là mạng bên 8. Mạng không tin cậy là mạng bên ngoài có
ngoài có kết nối vào mạng của tổ chức và kết nối vào mạng của tổ chức và không thuộc
không thuộc sự quản lý của tổ chức hoặc sự quản lý của tổ chức hoặc không thuộc sự
không thuộc sự quản lý của tổ chức tín quản lý của tổ chức tín dụng nước ngoài mà
dụng nước ngoài mà tổ chức có quan hệ tổ chức có quan hệ như là đơn vị phụ thuộc,
như là đơn vị phụ thuộc, hiện diện thương hiện diện thương mại tại Việt Nam.
mại tại Việt Nam.
14. Dịch vụ điện toán đám mây là các 9. Dịch vụ điện toán đám mây là các dịch vụ TT 09 quy định các
dịch vụ cung cấp tài nguyên máy tính cung cấp tài nguyên máy tính (bao gồm tài dịch vụ tài nguyên
(computing resources) qua môi trường nguyên tính toán, tài nguyên kết nối máy tính bao gồm:
mạng cho phép nhiều đối tượng sử mạng, tài nguyên lưu trữ, tài nguyên phần 1. Tài nguyên tính
dụng, có thể Điều chỉnh và thanh toán mềm và các tài nguyên máy tính khác) qua toán;
môi trường mạng cho phép nhiều đối tượng 2. Tài nguyên kết
theo nhu cầu sử dụng.
sử dụng, có thể điều chỉnh và thanh toán theo nối mạng;
nhu cầu sử dụng. 3. Tài nguyên lưu
trữ;
4. Tài nguyên phần
mềm;
5. Các tài nguyên
máy tính khác.
15. Tài Khoản người sử dụng (tài Khoản) 10. Tài khoản người sử dụng (tài khoản) là
là một tập hợp thông tin đại diện duy nhất một tập hợp thông tin đại diện duy nhất cho
cho người sử dụng trên hệ thống thông người sử dụng trên hệ thống thông tin, được
tin, được sử dụng để đăng nhập và truy sử dụng để đăng nhập và truy cập các tài
cập các tài nguyên được cấp phép trên hệ nguyên được cấp phép trên hệ thống thông
thống thông tin đó. tin đó.
16. Bên thứ ba là các cá nhân, doanh 11. Bên thứ ba là các cá nhân, doanh nghiệp
nghiệp (không bao gồm tổ chức tín dụng (không bao gồm tổ chức tín dụng nước ngoài
nước ngoài và các thành viên thuộc tổ và các thành viên thuộc tổ chức tín dụng
chức tín dụng nước ngoài trong trường nước ngoài trong trường hợp tổ chức là đơn
hợp tổ chức là đơn vị phụ thuộc, hiện diện vị phụ thuộc, hiện diện thương mại tại Việt
thương mại tại Việt Nam của tổ chức tín Nam của tổ chức tín dụng nước ngoài) có
dụng nước ngoài) có thỏa thuận bằng văn thỏa thuận bằng văn bản (gọi chung là hợp
bản (gọi chung là hợp đồng sử dụng dịch đồng sử dụng dịch vụ) với tổ chức nhằm
vụ) với tổ chức nhằm cung cấp dịch vụ cung cấp dịch vụ công nghệ thông tin.
công nghệ thông tin.
N/A 12. Người đại diện hợp pháp của tổ chức là TT 09 quy định
người đại diện theo pháp luật của tổ chức tín người đại diện hợp
dụng, doanh nghiệp, Tổng giám đốc (Giám pháp của tổ chức.
đốc) chi nhánh ngân hàng nước ngoài.
17. Cấp có thẩm quyền là chức danh hoặc 13. Cấp có thẩm quyền là chức danh hoặc
người được người đại diện hợp pháp của người được người đại diện hợp pháp của tổ
tổ chức phân cấp quản lý, phân công, ủy chức phân cấp quản lý, phân công, ủy quyền
quyền bằng văn bản để thực hiện một bằng văn bản để thực hiện một hoặc một số
hoặc một số chức năng, nhiệm vụ của tổ chức năng, nhiệm vụ của tổ chức.
chức.
N/A 14. Xác thực đa yếu tố là phương pháp xác TT 09 quy định
thực yêu cầu tối thiểu hai yếu tố để chứng phương pháp xác
minh tính đúng đắn của một danh tính. Các thực đa yếu tố
yếu tố xác thực bao gồm: (i) Những thông tin
mà người dùng biết (số PIN, mã khóa bí
mật,...); (ii) Những gì mà người dùng sở hữu
(thẻ thông minh, thiết bị token, điện thoại di
động ...); (iii) Những dấu hiệu sinh trắc học
của người dùng.
Điều 3. Nguyên tắc chung Điều 3. Nguyên tắc chung

1. Tổ chức có trách nhiệm bảo đảm an 1. Tổ chức có trách nhiệm bảo đảm an toàn
toàn thông tin theo nguyên tắc xác định rõ thông tin theo nguyên tắc xác định rõ quyền
quyền hạn, trách nhiệm từng bộ phận và hạn, trách nhiệm từng bộ phận và cá nhân
cá nhân trong tổ chức. trong tổ chức.
2. Phân loại hệ thống thông tin theo mức 2. Hệ thống thông tin được phân loại theo Phân loại hệ thống
độ quan trọng và áp dụng chính sách an cấp độ quy định tại Điều 5 Thông tư này và thông tin theo cấp
toàn thông tin phù hợp. áp dụng chính sách an toàn thông tin phù độ.
hợp.
3. Nhận biết, phân loại, đánh giá kịp thời 3. Các rủi ro công nghệ thông tin có thể xảy
và xử lý có hiệu quả các rủi ro công nghệ ra trong tổ chức được nhận biết, phân loại,
thông tin có thể xảy ra trong tổ chức. đánh giá kịp thời và xử lý có hiệu quả.
4. Xây dựng, triển khai quy chế an toàn 4. Việc xây dựng, triển khai quy chế an toàn Sử dụng “cấp độ”
thông tin trên cơ sở các quy định tại thông tin được thực hiện trên cơ sở các quy chấp nhận rủi ro
Thông tư này và hài hòa giữa lợi ích, chi định tại Thông tư này và hài hòa giữa lợi ích, của tổ chức thay thế
phí và mức độ chấp nhận rủi ro của tổ chi phí và cấp độ chấp nhận rủi ro của tổ cho cụm từ “mức
chức. chức. độ” chấp nhận rủi
ro.
Điều 4. Phân loại thông tin và hệ thống Điều 4. Phân loại thông tin
thông tin
1. Thông tin xử lý, lưu trữ thông qua hệ Thông tin xử lý, lưu trữ thông qua hệ thống
thống thông tin được phân loại theo thuộc thông tin được phân loại theo thuộc tính bí
tính bí mật như sau: mật như sau:
a) Thông tin công cộng là thông tin được 1. Thông tin công cộng là thông tin được
công khai cho tất cả các đối tượng mà công khai cho tất cả các đối tượng mà không
không cần xác định danh tính, địa chỉ cụ cần xác định danh tính, địa chỉ cụ thể của các
thể của các đối tượng đó; đối tượng đó;
b) Thông tin nội bộ là thông tin của tổ 2. Thông tin riêng (hoặc thông tin nội bộ) là Sử dụng cụm từ
chức được phân quyền quản lý, khai thác thông tin được phân quyền quản lý, khai thác “thông tin riêng” để
cho một hoặc một nhóm đối tượng trong cho một hoặc một nhóm đối tượng được xác chỉ thông tin nội bộ;
tổ chức được xác định danh tính; định danh tính;
N/A 3. Thông tin cá nhân là thông tin định Bổ sung thêm nhóm
danh khách hàng và các thông tin sau đây: thông tin cá nhân.
thông tin về tài khoản, thông tin về tiền
gửi, thông tin về tài sản gửi, thông tin về
giao dịch và các thông tin có liên quan
khác;
c) Thông tin bí mật là thông tin: (i) Được 4. Thông tin bí mật là: (i) Thông tin Mật, Tối Thay đổi các thông
xếp ở mức Mật theo quy định của tổ chức Mật, Tuyệt Mật theo quy định của pháp luật tin được xếp vào
và hạn chế đối tượng được tiếp cận; (ii) về bảo vệ bí mật nhà nước; (ii) Thông tin nhóm thông tin bí
Mật, Tối Mật, Tuyệt Mật theo quy định hạn chế tiếp cận theo quy định của tổ mật.
của pháp luật về bảo vệ bí mật nhà nước. chức.
Điều 5. Phân loại hệ thống thông tin

2. Tiêu chí phân loại theo mức độ quan TT 09 xóa bỏ tiêu
trọng hệ thống thông tin của các tổ chức: chí phân loại hệ
thống thông tin.
a) Hệ thống thông tin thông thường (mức 1. Đối với hệ thống thông tin cung cấp dịch TT 09 bổ sung thêm
độ 1) là hệ thống thông tin phục vụ hoạt vụ trực tuyến cho khách hàng, các tổ chức hệ thống thông tin
động nội bộ của tổ chức hoặc phục vụ thực hiện phân loại theo quy định tại Nghị cung cấp dịch vụ
khách hàng nhưng không xử lý thông tin định số 85/2016/NĐ-CP ngày 01/7/2016 của trực tuyến cho
bí mật; Chính phủ quy định về bảo đảm an toàn hệ khách hàng.
thống thông tin theo cấp độ. Đối với các hệ
thống thông tin khác, thực hiện phân loại
theo quy định tại khoản 2, 3, 4, 5, 6, 7 Điều
này.
b) Hệ thống thông tin quan trọng (mức độ 2. Hệ thống thông tin cấp độ 1 là hệ thống Phân chia hệ thống
2) là hệ thống thông tin có một trong các thông tin phục vụ hoạt động nội bộ của tổ thông tin còn lại
tiêu chí sau: (i) Hệ thống thông tin có xử chức và chỉ xử lý thông tin công cộng. theo 05 cấp độ.
lý thông tin bí mật; (ii) Hệ thống thông tin
phục vụ hoạt động nội bộ hàng ngày của
tổ chức và không chấp nhận ngừng vận
hành quá 4 giờ làm việc; (iii) Hệ thống
thông tin phục vụ khách hàng yêu cầu vận
hành 24/7 và không chấp nhận ngừng vận
hành mà không có kế hoạch trước; (iv) Hệ
thống thông tin cung cấp dịch vụ giao
dịch trực tuyến cho khách hàng;
c) Hệ thống thông tin đặc biệt quan trọng 3. Hệ thống thông tin cấp độ 2 là hệ thống
(mức độ 3) là hệ thống thông tin có một thông tin có một trong các tiêu chí sau:
trong các tiêu chí sau: (i) Hệ thống thông
tin quốc gia trong ngành Ngân hàng phục
vụ phát triển Chính phủ điện tử, yêu cầu
vận hành 24/7 và không chấp nhận ngừng
vận hành mà không có kế hoạch trước; (ii)
Hệ thống cơ sở hạ tầng thông tin dùng
chung trong ngành Ngân hàng phục vụ
hoạt động của các cơ quan, tổ chức trên
phạm vi toàn quốc yêu cầu vận hành 24/7
và không chấp nhận ngừng vận hành mà
không có kế hoạch trước;
a) Hệ thống thông tin phục vụ hoạt động nội

bộ của tổ chức, có xử lý thông tin riêng,
thông tin cá nhân của người sử dụng, thông
tin hạn chế tiếp cận theo quy định của tổ
chức nhưng không xử lý thông tin bí mật nhà
nước;
b) Hệ thống thông tin phục vụ khách hàng
không yêu cầu vận hành 24/7;
c) Hệ thống cơ sở hạ tầng thông tin phục vụ
hoạt động của một số bộ phận thuộc tổ chức
hoặc của tổ chức tài chính vi mô, quỹ tín
dụng nhân dân cơ sở.
4. Hệ thống thông tin cấp độ 3 là hệ thống
thông tin có một trong các tiêu chí sau:
a) Hệ thống thông tin xử lý thông tin bí mật
nhà nước ở cấp độ Mật;
b) Hệ thống thông tin phục vụ hoạt động nội
bộ hàng ngày của tổ chức và không chấp
nhận ngừng vận hành quá 4 giờ làm việc kể
từ thời điểm ngừng vận hành;
c) Hệ thống thông tin phục vụ khách hàng
yêu cầu vận hành 24/7 và không chấp nhận
ngừng vận hành mà không có kế hoạch
trước;
d) Các hệ thống thanh toán sử dụng của bên
thứ ba dùng để thanh toán ngoài hệ thống của
tổ chức;
đ) Hệ thống cơ sở hạ tầng thông tin dùng
chung phục vụ hoạt động của tổ chức và của
ngành Ngân hàng.
nhà nước ở cấp độ Tối Mật;
b) Hệ thống thông tin phục vụ khách hàng có
xử lý, lưu trữ dữ liệu của 10 triệu khách hàng
trở lên;
c) Hệ thống thông tin quốc gia trong ngành
Ngân hàng, yêu cầu vận hành 24/7 và không
chấp nhận ngừng vận hành mà không có kế
hoạch trước;
d) Các hệ thống thanh toán quan trọng trong
ngành Ngân hàng theo quy định của Ngân
hàng Nhà nước;
đ) Hệ thống cơ sở hạ tầng thông tin dùng
chung phục vụ hoạt động của ngành Ngân
hàng, yêu cầu vận hành 24/7 và không chấp
nhận ngừng vận hành mà không có kế hoạch
trước.
nhà nước ở cấp độ Tuyệt Mật;
b) Hệ thống thông tin quốc gia trong ngành
Ngân hàng phục vụ kết nối liên thông hoạt
động của Việt Nam với quốc tế;
c) Hệ thống cơ sở hạ tầng thông tin quốc gia
trong ngành Ngân hàng phục vụ kết nối liên
thông hoạt động của Việt Nam với quốc tế.
d) Trong trường hợp hệ thống thông tin 7. Trong trường hợp hệ thống thông tin bao Có nhiều hệ thống
bao gồm nhiều hệ thống thành phần, mỗi gồm nhiều hệ thống thành phần, mỗi hệ thành phần → hệ
hệ thống thành phần lại tương ứng với thống thành phần lại tương ứng với một cấp thống thông tin có
một mức độ quan trọng khác nhau, thì độ khác nhau, cấp độ hệ thống thông tin cấp độ cao nhất.
phân loại hệ thống thông tin xác định theo được xác định là cấp độ cao nhất trong các
mức độ quan trọng của hệ thống thành cấp độ của các hệ thống thành phần cấu
phần cung cấp hoạt động kỹ thuật, nghiệp thành.
vụ chính.
8. Tổ chức thực hiện phân loại hệ thống Quy định hồ sơ, thủ
thông tin theo cấp độ quy định tại khoản 1, 2, tục thẩm định, phê
3, 4, 5, 6, 7 Điều này. Hồ sơ, thủ tục thẩm duyệt hệ thống
định, phê duyệt hệ thống thông tin theo cấp thông tin.
độ tuân thủ quy định tại Nghị định số
85/2016/NĐ-CP. Đối với hồ sơ đề xuất các
hệ thống thông tin cấp độ 4, 5, tổ chức gửi hồ
sơ cho Ngân hàng Nhà nước (Cục Công nghệ
thông tin) để lấy ý kiến.
9. Danh sách hệ thống thông tin theo cấp độ Lập và rà soát, cập
phải được lập và rà soát, cập nhật sau khi hệ nhật sau khi hệ
thống được triển khai và định kỳ hàng năm. thống được triển
khai và định kỳ
hằng năm.
3. Tổ chức thực hiện phân loại hệ thống
thông tin theo mức độ quan trọng quy
định tại Khoản 2 Điều này. Danh sách hệ
thống thông tin theo mức độ quan trọng
phải được người đại diện hợp pháp phê
duyệt.
Điều 5. Quy chế an toàn thông tin Điều 6. Quy chế an toàn thông tin
1. Tổ chức xây dựng quy chế an toàn 1. Tổ chức xây dựng quy chế an toàn thông
thông tin phù hợp với hệ thống thông tin, tin phù hợp với hệ thống thông tin, cơ cấu tổ
cơ cấu tổ chức, yêu cầu quản lý và hoạt chức, yêu cầu quản lý và hoạt động của tổ
động của tổ chức. Quy chế an toàn thông chức. Quy chế an toàn thông tin phải được
tin phải được người đại diện hợp pháp ký người đại diện hợp pháp ký ban hành và triển
ban hành và triển khai thực hiện trong khai thực hiện trong toàn tổ chức.
toàn tổ chức.
2. Quy chế an toàn thông tin tối thiểu gồm 2. Quy chế an toàn thông tin tối thiểu gồm
các nội dung cơ bản sau: các nội dung cơ bản sau:
a) Quản lý tài sản công nghệ thông tin; a) Quản lý tài sản công nghệ thông tin;
b) Quản lý nguồn nhân lực; b) Quản lý nguồn nhân lực;
c) Bảo đảm an toàn về mặt vật lý và môi c) Bảo đảm an toàn về mặt vật lý và môi
trường lắp đặt; trường lắp đặt;
d) Quản lý vận hành và trao đổi thông tin; d) Quản lý vận hành và trao đổi thông tin;
đ) Quản lý truy cập; đ) Quản lý truy cập;

e) Quản lý sử dụng dịch vụ công nghệ e) Quản lý sử dụng dịch vụ công nghệ thông
thông tin của bên thứ ba; tin của bên thứ ba;
g) Quản lý tiếp nhận, phát triển, duy trì hệ g) Quản lý tiếp nhận, phát triển, duy trì hệ
thống thông tin; thống thông tin;
h) Quản lý sự cố an toàn thông tin; h) Quản lý sự cố an toàn thông tin;
i) Bảo đảm hoạt động liên tục của hệ i) Bảo đảm hoạt động liên tục của hệ thống
thống thông tin; thông tin;
k) Kiểm tra nội bộ và chế độ báo cáo. k) Kiểm tra nội bộ và chế độ báo cáo.
3. Tổ chức rà soát quy chế an toàn thông 3. Tổ chức rà soát quy chế an toàn thông tin
tin tối thiểu mỗi năm một lần, bảo đảm sự tối thiểu mỗi năm một lần, bảo đảm sự đầy
đầy đủ của quy chế theo các quy định tại đủ của quy chế theo các quy định tại Thông
Thông tư này. Khi phát hiện những bất tư này. Khi phát hiện những bất cập, bất hợp
cập, bất hợp lý gây ra mất an toàn thông lý gây ra mất an toàn thông tin hoặc theo yêu
tin hoặc theo yêu cầu của cơ quan có thẩm cầu của cơ quan có thẩm quyền, tổ chức tiến
quyền, tổ chức tiến hành chỉnh sửa, bổ hành chỉnh sửa, bổ sung ngay quy chế an
sung ngay quy chế an toàn thông tin đã toàn thông tin đã ban hành.
ban hành.
Chương II Chương II
CÁC QUY ĐỊNH VỀ BẢO ĐẢM AN CÁC QUY ĐỊNH VỀ BẢO ĐẢM AN
TOÀN THÔNG TIN TOÀN THÔNG TIN
Mục 1. QUẢN LÝ TÀI SẢN CÔNG Mục 1. QUẢN LÝ TÀI SẢN CÔNG
NGHỆ THÔNG TIN NGHỆ THÔNG TIN
Điều 6. Quản lý tài sản công nghệ thông Điều 7. Quản lý tài sản công nghệ thông
tin tin
1. Các loại tài sản công nghệ thông tin bao 1. Các loại tài sản công nghệ thông tin bao
gồm: gồm:
a) Tài sản thông tin: các dữ liệu, thông tin a) Tài sản thông tin: các dữ liệu, thông tin ở
ở dạng số được xử lý, lưu trữ thông qua dạng số được xử lý, lưu trữ thông qua hệ
hệ thống thông tin; thống thông tin;
b) Tài sản vật lý: các thiết bị công nghệ b) Tài sản vật lý: các thiết bị công nghệ
thông tin, phương tiện truyền thông, vật thông tin, phương tiện truyền thông, vật
mang tin và các thiết bị phục vụ cho hoạt mang tin và các thiết bị phục vụ cho hoạt
động của hệ thống thông tin; động của hệ thống thông tin;
c) Tài sản phần mềm: các phần mềm hệ c) Tài sản phần mềm: các phần mềm hệ
thống, phần mềm tiện ích, phần mềm lớp thống, phần mềm tiện ích, phần mềm lớp
giữa, cơ sở dữ liệu, chương trình ứng giữa, hệ quản trị cơ sở dữ liệu, chương trình
dụng, mã nguồn và công cụ phát triển. ứng dụng, mã nguồn và công cụ phát triển.
2. Tổ chức lập danh sách của tất cả các tài 2. Tổ chức lập danh sách của tất cả các tài TT 09 quy định tổ
sản công nghệ thông tin gắn với từng hệ sản công nghệ thông tin gắn với từng hệ chức lập danh sách
thống thông tin theo quy định tại Khoản 3, thống thông tin theo quy định tại khoản 9, (theo danh sách hệ
Điều 4 Thông tư này. Định kỳ hàng năm Điều 5 Thông tư này. Định kỳ hàng năm rà thống thông tin theo
rà soát và cập nhật danh sách tài sản công soát và cập nhật danh sách tài sản công nghệ cấp độ).
nghệ thông tin. thông tin.
3. Căn cứ theo mức độ quan trọng của hệ 3. Căn cứ theo cấp độ của hệ thống thông tin, Căn cứ vào cấp độ
thống thông tin, tổ chức thực hiện các tổ chức thực hiện các biện pháp quản lý, bảo hệ thống thông tin
biện pháp quản lý, bảo vệ phù hợp với vệ phù hợp với từng loại tài sản công nghệ
từng loại tài sản công nghệ thông tin. thông tin.
4. Căn cứ phân loại tài sản công nghệ 4. Căn cứ phân loại tài sản công nghệ thông
thông tin tại Khoản 1 Điều này, tổ chức tin tại khoản 1 Điều này, tổ chức xây dựng
xây dựng và thực hiện các quy định về và thực hiện các quy định về quản lý và sử
quản lý và sử dụng tài sản theo quy định dụng tài sản theo quy định tại Điều 8, 9, 10,
tại Điều 7, 8, 9, 10 và Điều 11 Thông tư 11 và Điều 12 Thông tư này.
này.
Điều 7. Quản lý tài sản thông tin Điều 8. Quản lý tài sản thông tin
1. Với mỗi hệ thống thông tin phải lập 1. Với mỗi hệ thống thông tin, tổ chức phải
danh sách tài sản thông tin, quy định về lập danh sách tài sản thông tin, quy định về
thẩm quyền, trách nhiệm của cá nhân hoặc thẩm quyền, trách nhiệm của cá nhân hoặc
bộ phận của tổ chức được tiếp cận, khai bộ phận của tổ chức được tiếp cận, khai thác
thác và quản lý. và quản lý.
2. Tài sản thông tin phải phân loại theo 2. Tài sản thông tin phải phân loại theo loại TT 09 phân loại tài
quy định tại Khoản 1 Điều 4 Thông tư thông tin quy định tại Điều 4 Thông tư này. sản thông tin theo
này. cách phân loại mới.
3. Tài sản thông tin thuộc loại thông tin bí 3. Tài sản thông tin thuộc loại thông tin bí
mật phải được mã hóa hoặc có biện pháp mật phải được mã hóa hoặc có biện pháp bảo
bảo vệ để bảo mật thông tin trong quá vệ để bảo mật thông tin trong quá trình tạo
trình tạo lập, trao đổi, lưu trữ. lập, trao đổi, lưu trữ.
4. Tài sản thông tin trên hệ thống thông 4. Tài sản thông tin trên hệ thống thông tin từ
tin mức độ 3 phải áp dụng phương án cấp độ 3 trở lên phải áp dụng phương án
chống thất thoát dữ liệu. chống thất thoát dữ liệu.
Điều 8. Quản lý tài sản vật lý Điều 9. Quản lý tài sản vật lý
1. Với mỗi hệ thống thông tin do tổ chức 2. Với mỗi hệ thống thông tin do tổ chức trực
trực tiếp quản lý phải lập danh sách tài tiếp quản lý, tổ chức phải lập danh sách tài
sản vật lý gồm các thông tin cơ bản sau: sản vật lý gồm các thông tin cơ bản sau: tên
tên tài sản, giá trị, vị trí lắp đặt, chủ thể tài sản, giá trị, vị trí lắp đặt, chủ thể quản lý,
quản lý, mục đích sử dụng, tình trạng sử mục đích sử dụng, tình trạng sử dụng, hệ
dụng, hệ thống thông tin tương ứng. thống thông tin tương ứng.
2. Tài sản vật lý phải được giao, gán trách 3. Tài sản vật lý phải được giao, gán trách
nhiệm cho cá nhân hoặc bộ phận quản lý, nhiệm cho cá nhân hoặc bộ phận quản lý, sử
sử dụng. dụng.
3. Tài sản vật lý khi mang ra khỏi trụ sở 4. Tài sản vật lý khi mang ra khỏi trụ sở của
của tổ chức phải được sự phê duyệt của tổ chức phải được sự phê duyệt của cấp có
cấp có thẩm quyền và phải thực hiện biện thẩm quyền và phải thực hiện biện pháp bảo
pháp bảo vệ để bảo mật thông tin lưu trữ vệ để bảo mật thông tin lưu trữ trên tài sản
trên tài sản nếu tài sản đó có chứa thông nếu tài sản đó có chứa thông tin bí mật.
tin bí mật.
4. Tài sản vật lý có lưu trữ thông tin bí 5. Tài sản vật lý có lưu trữ thông tin bí mật
mật khi thay đổi mục đích sử dụng hoặc khi thay đổi mục đích sử dụng hoặc thanh lý
thanh lý phải được thực hiện các biện phải được thực hiện các biện pháp tiêu hủy
pháp tiêu hủy hoặc xóa thông tin bí mật hoặc xóa thông tin bí mật đó bảo đảm không
đó bảo đảm không có khả năng phục hồi. có khả năng phục hồi. Trường hợp không thể
Trường hợp không thể tiêu hủy được tiêu hủy được thông tin bí mật, tổ chức thực
thông tin bí mật, tổ chức thực hiện biện hiện biện pháp tiêu hủy cấu phần lưu trữ dữ
pháp tiêu hủy cấu phần lưu trữ dữ liệu liệu trên tài sản đó.
trên tài sản đó.
5. Tài sản vật lý là thiết bị di động, vật 1. Tài sản vật lý là thiết bị di động, vật mang
mang tin, ngoài các quy định tại Điều này, tin, ngoài các quy định tại Điều này, phải
phải được quản lý theo quy định tại Điều được quản lý theo quy định tại Điều 11, Điều
10, Điều 11 Thông tư này. 12 Thông tư này.
Điều 9. Quản lý tài sản phần mềm Điều 10. Quản lý tài sản phần mềm
1. Với mỗi hệ thống thông tin phải lập 1. Với mỗi hệ thống thông tin do tổ chức Tổ chức lập danh
danh sách tài sản phần mềm với các thông quản lý trực tiếp, tổ chức phải lập danh sách tài sản phần
tin cơ bản gồm: tên tài sản, giá trị, mục sách tài sản phần mềm với các thông tin cơ mềm đối với mỗi hệ
đích sử dụng, phạm vi sử dụng, chủ thể bản gồm: tên tài sản, giá trị, mục đích sử thống thông tin do
quản lý, thông tin về bản quyền, phiên dụng, phạm vi sử dụng, chủ thể quản lý, tổ chức quản lý trực
bản, hệ thống thông tin tương ứng. thông tin về bản quyền, phiên bản, hệ thống tiếp.
thông tin thành phần (nếu có).
2. Tài sản phần mềm phải được gán trách 2. Tài sản phần mềm phải được gắn trách
nhiệm cho cá nhân hoặc bộ phận quản lý. nhiệm cho cá nhân hoặc bộ phận quản lý.
3. Tài sản phần mềm phải được định kỳ rà 3. Tài sản phần mềm phải được tổ chức định
soát và cập nhật các bản vá lỗi về an ninh kỳ rà soát và cập nhật các bản vá lỗi về an
bảo mật. ninh bảo mật.
4. Tài sản phần mềm khi lưu trữ trên vật 4. Tài sản phần mềm khi lưu trữ trên vật
mang tin phải tuân thủ các quy định tại mang tin phải tuân thủ các quy định tại Điều
Điều 11 Thông tư này. 12 Thông tư này.
Điều 10. Quản lý sử dụng thiết bị di Điều 11. Quản lý sử dụng thiết bị di động
động
1. Các thiết bị di động khi kết nối vào hệ 1. Các thiết bị di động khi kết nối vào hệ
thống mạng nội bộ của tổ chức phải được thống mạng nội bộ của tổ chức phải được
đăng ký để kiểm soát. đăng ký để kiểm soát.
2. Giới hạn phạm vi kết nối từ thiết bị di 2. Giới hạn phạm vi kết nối từ thiết bị di
động đến các dịch vụ, hệ thống thông tin động đến các dịch vụ, hệ thống thông tin của
của tổ chức; kiểm soát các kết nối từ thiết tổ chức; kiểm soát các kết nối từ thiết bị di
bị di động tới các hệ thống thông tin được động tới các hệ thống thông tin được phép sử
phép sử dụng tại tổ chức. dụng tại tổ chức.
3. Quy định trách nhiệm của cá nhân 3. Quy định trách nhiệm của cá nhân trong tổ
trong tổ chức khi sử dụng thiết bị di động chức khi sử dụng thiết bị di động để phục vụ
để phục vụ công việc. công việc.
4. Thiết bị di động được sử dụng để phục 4. Thiết bị di động được sử dụng để phục vụ
vụ công việc phải áp dụng các biện pháp công việc phải áp dụng các biện pháp kỹ
kỹ thuật tối thiểu sau: thuật tối thiểu sau:
a) Thiết lập chức năng vô hiệu hóa, khóa a) Thiết lập chức năng vô hiệu hóa, khóa
thiết bị hoặc xóa dữ liệu từ xa trong thiết bị hoặc xóa dữ liệu từ xa trong trường
trường hợp thất lạc hoặc bị mất cắp; hợp thất lạc hoặc bị mất cắp;
b) Sao lưu dữ liệu trên thiết bị di động b) Sao lưu dữ liệu trên thiết bị di động nhằm
nhằm bảo vệ, khôi phục dữ liệu khi cần bảo vệ, khôi phục dữ liệu khi cần thiết;
thiết;
c) Thực hiện các biện pháp bảo vệ dữ liệu c) Thực hiện các biện pháp bảo vệ dữ liệu
khi bảo hành, bảo trì, sửa chữa thiết bị di khi bảo hành, bảo trì, sửa chữa thiết bị di
động. động.
5. Với thiết bị di động là tài sản của tổ 5. Với thiết bị di động là tài sản của tổ chức,
chức, ngoài việc áp dụng các quy định tại ngoài việc áp dụng các quy định tại khoản 4
Khoản 4 Điều này, phải áp dụng các biện Điều này, tổ chức phải áp dụng các biện
pháp kỹ thuật tối thiểu sau đây: pháp kỹ thuật tối thiểu sau đây:
a) Kiểm soát các phần mềm được cài đặt; a) Kiểm soát các phần mềm được cài đặt; cập
cập nhật các phiên bản phần mềm và các nhật các phiên bản phần mềm và các bản vá
bản vá lỗi trên thiết bị di động; lỗi trên thiết bị di động;
b) Sử dụng các tính năng bảo vệ thông tin b) Sử dụng các tính năng bảo vệ thông tin cá Bổ sung đối tượng
nội bộ, thông tin bí mật (nếu có); thiết lập nhân, thông tin nội bộ, thông tin bí mật (nếu được bảo vệ.
mã khóa bí mật; cài đặt phần mềm phòng có); thiết lập mã khóa bí mật; cài đặt phần
chống mã độc và các lỗi bảo mật khác. mềm phòng chống mã độc và các lỗi bảo mật
khác.
Điều 11. Quản lý sử dụng vật mang tin Điều 12. Quản lý sử dụng vật mang tin
1. Kiểm soát việc đấu nối, gỡ bỏ vật mang Tổ chức phải quản lý sử dụng vật mang tin
tin với thiết bị thuộc hệ thống thông tin. theo quy định sau:
2. Triển khai các biện pháp bảo đảm an 1. Kiểm soát việc đấu nối, gỡ bỏ vật mang tin
toàn vật mang tin khi vận chuyển, lưu trữ. với thiết bị thuộc hệ thống thông tin.
3. Thực hiện biện pháp bảo vệ đối với 2. Triển khai các biện pháp bảo đảm an toàn
thông tin bí mật chứa trong vật mang tin. vật mang tin khi vận chuyển, lưu trữ.
4. Quy định trách nhiệm của cá nhân 3. Thực hiện biện pháp bảo vệ đối với thông
trong quản lý, sử dụng vật mang tin. tin bí mật chứa trong vật mang tin.
4. Quy định trách nhiệm của cá nhân trong
quản lý, sử dụng vật mang tin.
Mục 2. QUẢN LÝ NGUỒN NHÂN Mục 2. QUẢN LÝ NGUỒN NHÂN LỰC
LỰC
Điều 12. Tổ chức nguồn nhân lực Điều 13. Tổ chức nguồn nhân lực
1. Người đại diện hợp pháp phải trực tiếp 1. Người đại diện hợp pháp phải trực tiếp
tham gia chỉ đạo và có trách nhiệm trong tham gia chỉ đạo và có trách nhiệm trong
công tác xây dựng chiến lược, kế hoạch về công tác xây dựng chiến lược, kế hoạch về
bảo đảm an toàn thông tin, ứng cứu các sự bảo đảm an toàn thông tin, ứng cứu các sự cố
cố an ninh mạng xảy ra tại tổ chức. an toàn thông tin xảy ra tại tổ chức.
N/A 2. Tổ chức chỉ có hệ thống thông tin từ cấp Chỉ có thông tin từ
độ 2 trở xuống chỉ định bộ phận có trách cấp độ 2 trở xuống
nhiệm đảm bảo an toàn thông tin. → chỉ định bộ phận
có trách nhiệm đảm
bảo an toàn thông
tin.
2. Tổ chức quản lý trực tiếp hệ thống 3. Tổ chức quản lý trực tiếp hệ thống thông Yêu cầu đối với tổ
thông tin mức độ 2 trở lên thực hiện: tin từ cấp độ 3 trở lên thực hiện: chức quản lý trực
tiếp hệ thống thông
tin từ cấp độ 3 trở
lên
a) Thành lập hoặc chỉ định bộ phận a) Thành lập hoặc chỉ định bộ phận chuyên
chuyên trách về an toàn thông tin có chức trách về an toàn thông tin có chức năng,
năng, nhiệm vụ bảo đảm an toàn thông tin nhiệm vụ bảo đảm an toàn thông tin và ứng
và ứng cứu sự cố an ninh mạng cho tổ cứu sự cố an toàn thông tin cho tổ chức;
chức;
b) Thành lập hoặc chỉ định bộ phận N/A
chuyên trách để quản lý vận hành trung
tâm Điều hành an ninh mạng đáp ứng yêu
cầu quy định tại Điều 46 Thông tư này
(không áp dụng với chi nhánh ngân hàng
nước ngoài, tổ chức cung ứng dịch vụ
trung gian thanh toán, tổ chức tín dụng
phi ngân hàng);
c) Tách biệt nhân sự giữa các nhiệm vụ: b) Tách biệt nhân sự giữa các nhiệm vụ: (i)
(i) Phát triển với quản trị hệ thống thông Phát triển với quản trị hệ thống thông tin; (ii)
tin; (ii) Phát triển với vận hành hệ thống Phát triển với vận hành hệ thống thông tin;
thông tin; (iii) Quản trị với vận hành hệ (iii) Quản trị với vận hành hệ thống thông
thống thông tin; (iv) Kiểm tra về an toàn tin; (iv) Kiểm tra về an toàn thông tin với
thông tin với phát triển, quản trị, vận hành phát triển, quản trị, vận hành hệ thống thông
hệ thống thông tin. tin.
Điều 13. Tuyển dụng và phân công Điều 14. Tuyển dụng và phân công nhiệm
nhiệm vụ vụ
Tổ chức tuyển dụng và phân công nhiệm Tổ chức tuyển dụng nhân sự và phân công
vụ như sau: nhiệm vụ theo quy định sau:
1. Xác định trách nhiệm trong việc bảo 1. Xác định trách nhiệm trong việc bảo đảm
đảm an toàn thông tin của vị trí cần tuyển an toàn thông tin của vị trí cần tuyển dụng
dụng hoặc phân công. hoặc phân công.
2. Xem xét, đánh giá tư cách đạo đức, 2. Xem xét, đánh giá tư cách đạo đức, trình Thay đổi căn cứ
trình độ chuyên môn thông qua lý lịch, lý độ chuyên môn thông qua lý lịch, lý lịch tư phân loại hệ thống
lịch tư pháp trước khi phân công nhân sự pháp trước khi phân công nhân sự làm việc thông tin.
làm việc tại các vị trí quan trọng của hệ tại các vị trí quan trọng của hệ thống thông
thống thông tin như: vận hành hệ thống tin như: vận hành hệ thống thông tin từ cấp
thông tin mức độ 3 hoặc quản trị hệ thống độ 3 trở lên hoặc quản trị hệ thống thông tin.
thông tin.
3. Yêu cầu người được tuyển dụng cam 3. Yêu cầu người được tuyển dụng cam kết
kết bảo mật thông tin bằng văn bản riêng bảo mật thông tin bằng văn bản riêng hoặc
hoặc cam kết trong hợp đồng lao động. cam kết trong hợp đồng lao động. Cam kết
Cam kết này phải bao gồm các Điều này phải bao gồm các Điều Khoản về trách
Khoản về trách nhiệm bảo đảm an toàn nhiệm bảo đảm an toàn thông tin trong và
thông tin trong và sau khi làm việc tại tổ sau khi làm việc tại tổ chức.
chức.
4. Đào tạo, phổ biến các quy định của tổ 4. Đào tạo, phổ biến các quy định của tổ
chức về an toàn thông tin đối với nhân sự chức về an toàn thông tin đối với nhân sự
mới tuyển dụng. mới tuyển dụng.
Điều 14. Quản lý sử dụng nguồn nhân Điều 15. Quản lý sử dụng nguồn nhân lực
lực
Tổ chức quản lý nguồn nhân lực như sau: Tổ chức quản lý nguồn nhân lực như sau:
1. Phổ biến, cập nhật các quy định về an 1. Phổ biến, cập nhật các quy định về an toàn
toàn thông tin cho tất cả cá nhân trong tổ thông tin cho tất cả cá nhân trong tổ chức tối
chức tối thiểu mỗi năm một lần. thiểu mỗi năm một lần.
2. Kiểm tra việc tuân thủ các quy định về 2. Kiểm tra việc tuân thủ các quy định về an
an toàn thông tin đối với cá nhân, bộ phận toàn thông tin đối với cá nhân, bộ phận trực
trực thuộc tối thiểu mỗi năm một lần. thuộc tối thiểu mỗi năm một lần.
3. Áp dụng các biện pháp xử lý kỷ luật đối 3. Áp dụng các biện pháp xử lý kỷ luật đối
với cá nhân, bộ phận vi phạm quy định an với cá nhân, bộ phận vi phạm quy định an
toàn thông tin theo quy định của pháp luật toàn thông tin theo quy định của pháp luật và
và quy định của tổ chức. quy định của tổ chức.
Điều 15. Chấm dứt hoặc thay đổi công Điều 16. Chấm dứt hoặc thay đổi công việc
việc
Khi cá nhân trong tổ chức chấm dứt hoặc Khi cá nhân trong tổ chức chấm dứt hoặc
thay đổi công việc, tổ chức thực hiện: thay đổi công việc, tổ chức thực hiện:
1. Xác định trách nhiệm của cá nhân khi 1. Xác định trách nhiệm của cá nhân khi
chấm dứt hoặc thay đổi công việc. chấm dứt hoặc thay đổi công việc.
2. Yêu cầu cá nhân bàn giao lại tài sản 2. Yêu cầu cá nhân bàn giao lại tài sản công
công nghệ thông tin. nghệ thông tin.
3. Thu hồi ngay quyền truy cập hệ thống 3. Thu hồi ngay quyền truy cập hệ thống
thông tin của cá nhân nghỉ việc. thông tin của cá nhân nghỉ việc.
4. Thay đổi kịp thời quyền truy cập hệ 4. Thay đổi kịp thời quyền truy cập hệ thống
thống thông tin của cá nhân thay đổi công thông tin của cá nhân thay đổi công việc bảo
việc bảo đảm nguyên tắc quyền vừa đủ để đảm nguyên tắc quyền vừa đủ để thực hiện
thực hiện nhiệm vụ được giao. nhiệm vụ được giao.
5. Rà soát, kiểm tra đối chiếu định kỳ tối 5. Rà soát, kiểm tra đối chiếu định kỳ tối Bổ sung đối tượng
thiểu sáu tháng một lần giữa bộ phận quản thiểu sáu tháng một lần giữa bộ phận hoặc hệ được rà soát, kiểm
lý nhân sự và bộ phận quản lý cấp phát, thống quản lý nhân sự và bộ phận quản lý tra đối chiếu.
thu hồi quyền truy cập hệ thống thông tin cấp phát, thu hồi quyền truy cập hệ thống
nhằm bảo đảm tuân thủ Khoản 3, Khoản 4 thông tin nhằm bảo đảm tuân thủ khoản 3,
Điều này. khoản 4 Điều này.
6. Thông báo cho Ngân hàng Nhà nước 6. Thông báo cho Ngân hàng Nhà nước (Cục Dẫn chiếu cụ thể.
(Cục Công nghệ thông tin) các trường hợp Công nghệ thông tin) các trường hợp cá nhân
cá nhân làm việc trong lĩnh vực công nghệ làm việc trong lĩnh vực công nghệ thông tin
thông tin của tổ chức bị kỷ luật với hình của tổ chức bị kỷ luật với hình thức sa thải,
thức sa thải, buộc thôi việc hoặc bị truy tố buộc thôi việc hoặc bị truy tố về các tội quy
trước pháp luật do vi phạm quy định về an định tại Mục 2 Chương XXI Bộ luật Hình
toàn thông tin. sự (Tội phạm trong lĩnh vực công nghệ
thông tin, mạng viễn thông).
Mục 3. BẢO ĐẢM AN TOÀN VỀ MẶT Mục 3. BẢO ĐẢM AN TOÀN VỀ MẶT
VẬT LÝ VÀ MÔI TRƯỜNG NƠI LẮP VẬT LÝ VÀ MÔI TRƯỜNG NƠI LẮP
ĐẶT TRANG THIẾT BỊ CÔNG ĐẶT TRANG THIẾT BỊ CÔNG NGHỆ
NGHỆ THÔNG TIN THÔNG TIN
Điều 16. Yêu cầu chung đối với nơi lắp Điều 17. Yêu cầu chung đối với nơi lắp đặt
đặt trang thiết bị công nghệ thông tin trang thiết bị công nghệ thông tin
1. Bảo vệ bằng tường bao, cổng ra vào 1. Bảo vệ bằng tường bao, cổng ra vào hoặc
hoặc có các biện pháp kiểm soát, hạn chế có các biện pháp kiểm soát, hạn chế rủi ro
rủi ro xâm nhập trái phép. xâm nhập trái phép.
2. Thực hiện các biện pháp phòng chống 2. Thực hiện các biện pháp phòng chống
nguy cơ do cháy nổ, ngập lụt. nguy cơ do cháy nổ, ngập lụt.
3. Các khu vực có yêu cầu cao về an toàn, 3. Các khu vực có yêu cầu cao về an toàn, Yêu cầu đối với khu
bảo mật như khu vực lắp đặt máy chủ, bảo mật như khu vực lắp đặt máy chủ, thiết vực lắp đặt thiết bị
thiết bị lưu trữ, thiết bị an ninh bảo mật, bị lưu trữ, thiết bị an ninh bảo mật, thiết bị của hệ thống thông
thiết bị truyền thông phải được cách ly với truyền thông của hệ thống thông tin từ cấp tin từ cấp độ 3 trở
khu vực dùng chung, phân phối, chuyển độ 3 trở lên phải được cách ly với khu vực lên.
hàng; ban hành nội quy, hướng dẫn làm dùng chung, phân phối, chuyển hàng; ban
việc và áp dụng biện pháp kiểm soát ra hành nội quy, hướng dẫn làm việc và áp dụng
vào khu vực đó. biện pháp kiểm soát ra vào khu vực đó.
Điều 17. Yêu cầu đối với trung tâm dữ Điều 18. Yêu cầu đối với trung tâm dữ liệu
liệu
Ngoài việc bảo đảm yêu cầu tại Điều 16 Ngoài việc bảo đảm yêu cầu tại Điều 17
Thông tư này, Trung tâm dữ liệu phải bảo Thông tư này, trung tâm dữ liệu phải bảo
đảm các yêu cầu sau: đảm các yêu cầu sau:
1. Cổng vào ra tòa nhà trung tâm dữ liệu 1. Cổng vào ra tòa nhà trung tâm dữ liệu phải
phải có người kiểm soát 24/7. có người kiểm soát 24/7.
2. Cửa vào ra trung tâm dữ liệu phải chắc 2. Cửa vào ra trung tâm dữ liệu phải chắc
chắn, có khả năng chống cháy, sử dụng ít chắn, có khả năng chống cháy, sử dụng ít
nhất hai loại khóa khác nhau và phải có nhất hai loại khóa khác nhau và phải có biện
biện pháp bảo vệ và giám sát 24/7. pháp bảo vệ và giám sát 24/7.
3. Khu vực lắp đặt thiết bị phải được tránh 3. Khu vực lắp đặt thiết bị phải được tránh
nắng chiếu rọi trực tiếp, chống thấm dột nắng chiếu rọi trực tiếp, chống thấm dột
nước, tránh ngập lụt. Khu vực lắp đặt thiết nước, tránh ngập lụt. Khu vực lắp đặt thiết bị
bị của hệ thống thông tin từ mức độ 2 trở của hệ thống thông tin từ cấp độ 3 trở lên
lên phải được bảo vệ, giám sát 24/7. phải được bảo vệ, giám sát 24/7.
4. Có tối thiểu một nguồn điện lưới và 4. Có tối thiểu một nguồn điện lưới và một
một nguồn điện máy phát. Có hệ thống nguồn điện máy phát. Có hệ thống chuyển
chuyển mạch tự động giữa hai nguồn điện, mạch tự động giữa hai nguồn điện, khi cắt
khi cắt điện lưới máy phát phải tự động điện lưới máy phát phải tự động khởi động
khởi động cấp nguồn. Nguồn điện phải cấp nguồn. Nguồn điện phải đấu nối qua hệ
đấu nối qua hệ thống lưu điện để cấp thống lưu điện để cấp nguồn cho thiết bị, bảo
nguồn cho thiết bị, bảo đảm khả năng duy đảm khả năng duy trì hoạt động liên tục của
trì hoạt động liên tục của hệ thống thông hệ thống thông tin.
tin.
5. Có hệ thống Điều hòa không khí bảo 5. Có hệ thống điều hòa không khí bảo đảm
đảm khả năng hoạt động liên tục. khả năng hoạt động liên tục.
6. Có hệ thống chống sét trực tiếp và lan 6. Có hệ thống chống sét trực tiếp và lan
truyền. truyền.
7. Có hệ thống báo cháy và chữa cháy tự 7. Có hệ thống báo cháy và chữa cháy tự Yêu cầu đối với hệ
động bảo đảm khi chữa cháy không làm động. Hệ thống chữa cháy bảo đảm khi thống chữa cháy.
hư hỏng thiết bị lắp đặt bên trong. chữa cháy không làm hư hỏng thiết bị lắp đặt
bên trong, trừ trường hợp tổ chức có hệ
thống dự phòng bảo đảm an toàn tuyệt đối
cho dữ liệu và có khả năng thay thế hoàn
toàn hệ thống chính trong vòng 01 giờ.
8. Có hệ thống sàn kỹ thuật hoặc lớp cách 8. Có hệ thống sàn kỹ thuật hoặc lớp cách ly
ly chống nhiễm điện; hệ thống tiếp địa. chống nhiễm điện; hệ thống tiếp địa.
9. Có hệ thống camera giám sát, lưu trữ 9. Có hệ thống camera giám sát, lưu trữ dữ Thời gian lưu trức
dữ liệu giám sát tối thiểu 100 ngày. liệu giám sát tối thiểu 90 ngày. dữ liệu giám sát: tối
thiểu 90 ngày.
10. Có hệ thống theo dõi, kiểm soát nhiệt 10. Có hệ thống theo dõi, kiểm soát nhiệt độ,
độ, độ ẩm. độ ẩm.
11. Có hồ sơ nhật ký kiểm soát vào ra 11. Có hồ sơ nhật ký kiểm soát vào ra trung
trung tâm dữ liệu. tâm dữ liệu.
Điều 18. An toàn tài sản vật lý Điều 19. An toàn tài sản vật lý
1. Tài sản vật lý phải được bố trí, lắp đặt 1. Tài sản vật lý phải được bố trí, lắp đặt tại
tại các địa điểm an toàn và được bảo vệ để các địa điểm an toàn và được bảo vệ để giảm
giảm thiểu những rủi ro do các đe dọa, thiểu những rủi ro do các đe dọa, hiểm họa từ
hiểm họa từ môi trường và các xâm nhập môi trường và các xâm nhập trái phép.
trái phép.
2. Tài sản vật lý thuộc hệ thống thông tin 2. Tài sản vật lý thuộc hệ thống thông tin từ Thay đổi cấp độ của
từ mức độ 2 trở lên phải được bảo đảm về cấp độ 3 trở lên phải được bảo đảm về hệ thống thông tin
nguồn điện và các hệ thống hỗ trợ khi nguồn điện và các hệ thống hỗ trợ khi nguồn được áp dụng.
nguồn điện chính bị gián đoạn. Phải có diện chính bị gián đoạn. Phải có biện pháp
biện pháp chống quá tải hay sụt giảm điện chống quá tải hay sụt giảm điện áp, chống sét
áp, chống sét lan truyền; có hệ thống tiếp lan truyền; có hệ thống tiếp địa; có hệ thống
địa; có hệ thống máy phát điện dự phòng máy phát điện dự phòng và hệ thống lưu điện
và hệ thống lưu điện bảo đảm thiết bị hoạt bảo đảm thiết bị hoạt động liên tục.
động liên tục.
3. Dây cáp cung cấp nguồn điện và dây 3. Dây cáp cung cấp nguồn điện và dây cáp
cáp truyền thông sử dụng trong truyền tải truyền thông sử dụng trong truyền tải dữ liệu
dữ liệu hay những dịch vụ hỗ trợ thông tin hay những dịch vụ hỗ trợ thông tin phải được
phải được bảo vệ khỏi sự xâm phạm hoặc bảo vệ khỏi sự xâm phạm hoặc hư hại.
hư hại.
4. Các trang thiết bị dùng cho hoạt động 4. Các trang thiết bị dùng cho hoạt động
nghiệp vụ lắp đặt bên ngoài trụ sở làm nghiệp vụ lắp đặt bên ngoài trụ sở làm việc
việc của tổ chức phải có biện pháp giám của tổ chức phải có biện pháp giám sát, bảo
sát, bảo vệ an toàn phòng chống truy cập vệ an toàn phòng chống truy cập bất hợp
bất hợp pháp. pháp.
Mục 4. QUẢN LÝ VẬN HÀNH VÀ Mục 4. QUẢN LÝ VẬN HÀNH VÀ TRAO
TRAO ĐỔI THÔNG TIN ĐỔI THÔNG TIN
Điều 19. Trách nhiệm quản lý và quy Điều 20. Trách nhiệm quản lý và quy
trình vận hành của tổ chức trình vận hành của tổ chức
1. Tổ chức ban hành các quy trình vận 1. Tổ chức ban hành các quy trình, tài liệu Bổ sung nhiệm vụ
hành đối với hệ thống thông tin từ mức độ vận hành đối với hệ thống thông tin từ cấp ban hành tài liệu và
2 trở lên, tối thiểu bao gồm: quy trình bật, độ 3 trở lên, tối thiểu bao gồm các nội dung: thay đổi cấp độ của
tắt hệ thống; quy trình sao lưu, phục hồi quy trình bật, tắt hệ thống; quy trình sao lưu, hệ thống thông tin
dữ liệu; quy trình vận hành ứng dụng; quy phục hồi dữ liệu; quy trình vận hành ứng được áp dụng.
trình xử lý sự cố; quy trình giám sát và dụng; quy trình xử lý sự cố; quy trình giám
ghi nhật ký hoạt động của hệ thống. Trong sát và ghi nhật ký hoạt động của hệ thống.
đó phải xác định rõ phạm vi, trách nhiệm Trong đó phải xác định rõ phạm vi, trách
của người sử dụng, vận hành hệ thống. nhiệm của người sử dụng, vận hành hệ thống.
Định kỳ tối thiểu mỗi năm một lần, tổ Định kỳ tối thiểu mỗi năm một lần, tổ chức
chức thực hiện rà soát, cập nhật, bổ sung thực hiện rà soát, cập nhật, bổ sung các quy
các quy trình vận hành hệ thống thông tin trình vận hành hệ thống thông tin để phù hợp
để phù hợp thực tế. thực tế.
2. Tổ chức triển khai các quy trình đến 2. Tổ chức triển khai các quy trình đến toàn
toàn bộ các đối tượng tham gia vận hành bộ các đối tượng tham gia vận hành và giám
và giám sát tuân thủ việc thực hiện các sát tuân thủ việc thực hiện các quy trình đã
quy trình đã ban hành. ban hành.
3. Môi trường vận hành của hệ thống 3. Môi trường vận hành của hệ thống thông Thay đổi hệ thống
thông tin từ mức độ 2 trở lên phải đáp ứng tin từ cấp độ 3 trở lên và các hệ thống thông tin áp dụng
yêu cầu: thông tin có xử lý thông tin cá nhân của
khách hàng phải đáp ứng yêu cầu:
a) Tách biệt với các môi trường phát triển, a) Tách biệt với các môi trường phát triển,
kiểm tra và thử nghiệm; kiểm tra và thử nghiệm;
b) Áp dụng các giải pháp bảo đảm an toàn b) Áp dụng các giải pháp bảo đảm an toàn
thông tin; thông tin;
c) Không cài đặt các công cụ, phương tiện c) Không cài đặt các công cụ, phương tiện
phát triển ứng dụng; phát triển ứng dụng;
d) Loại bỏ hoặc tắt các tính năng, phần d) Loại bỏ hoặc tắt các tính năng, phần mềm
mềm tiện ích không sử dụng trên hệ thống tiện ích không sử dụng trên hệ thống thông
thông tin. tin.
4. Đối với hệ thống thông tin xử lý giao 4. Đối với hệ thống thông tin xử lý giao dịch
dịch khách hàng phải đáp ứng yêu cầu khách hàng phải đáp ứng yêu cầu sau:
sau:
a) Không để một cá nhân được đồng thời a) Không để một cá nhân được đồng thời
thực hiện các công việc khởi tạo và phê thực hiện các công việc khởi tạo và phê
duyệt một giao dịch; duyệt một giao dịch;
N/A b) Áp dụng xác thực đa yếu tố tại bước phê Yêu cầu mới đối
duyệt cuối cùng khi thực hiện giao dịch tài với hệ thống thông
chính phát sinh chuyển tiền điện tử liên ngân tin xử lý giao dịch
hàng có giá trị từ 100 triệu đồng trở lên khách hàng.
(ngoại trừ hệ thống thanh toán xuyên suốt
(Straight Though Process) đã có biện pháp
xác thực tự động giao dịch giữa các hệ thống
liên thông);
b) Áp dụng các biện pháp bảo đảm tính c) Áp dụng các biện pháp bảo đảm tính toàn
toàn vẹn dữ liệu giao dịch; vẹn dữ liệu giao dịch;
c) Mọi thao tác trên hệ thống phải được d) Mọi thao tác trên hệ thống phải được lưu
lưu vết, sẵn sàng cho kiểm tra, kiểm soát vết, sẵn sàng cho kiểm tra, kiểm soát khi cần
khi cần thiết. thiết.
Điều 20. Lập kế hoạch và chấp nhận hệ Điều 21. Lập kế hoạch và chấp nhận hệ
thống thông tin thống thông tin
1. Tổ chức xây dựng tiêu chuẩn, định 1. Tổ chức xây dựng tiêu chuẩn, định mức,
mức, yêu cầu kỹ thuật để bảo đảm hoạt yêu cầu kỹ thuật để bảo đảm hoạt động bình
động bình thường đối với tất cả các hệ thường đối với tất cả các hệ thống thông tin
thống thông tin hiện có và các hệ thống hiện có và các hệ thống thông tin khác trước
thông tin khác trước khi đưa vào áp dụng khi đưa vào áp dụng chính thức.
chính thức.
2. Căn cứ các tiêu chuẩn, định mức, yêu 2. Căn cứ các tiêu chuẩn, định mức, yêu cầu
cầu kỹ thuật đã xây dựng, tổ chức giám kỹ thuật đã xây dựng, tổ chức giám sát, tối
sát, tối ưu hiệu suất của hệ thống thông ưu hiệu suất của hệ thống thông tin; đánh giá
tin; đánh giá khả năng đáp ứng, tình trạng khả năng đáp ứng, tình trạng hoạt động, cấu
hoạt động, cấu hình hệ thống của hệ thống hình hệ thống của hệ thống thông tin để dự
thông tin để dự báo, lập kế hoạch mở báo, lập kế hoạch mở rộng, nâng cấp bảo
rộng, nâng cấp bảo đảm khả năng đáp ứng đảm khả năng đáp ứng trong tương lai.
trong tương lai.
3. Tổ chức rà soát, cập nhật tiêu chuẩn, 3. Tổ chức rà soát, cập nhật tiêu chuẩn, định
định mức, yêu cầu kỹ thuật khi có sự thay mức, yêu cầu kỹ thuật khi có sự thay đổi đối
đổi đối với hệ thống thông tin; thực hiện với hệ thống thông tin; thực hiện đào tạo và
đào tạo và chuyển giao kỹ thuật đối với chuyển giao kỹ thuật đối với những nội dung
những nội dung thay đổi cho các nhân sự thay đổi cho các nhân sự có liên quan.
có liên quan.
Điều 21. Sao lưu dự phòng Điều 22. Sao lưu dự phòng
Tổ chức thực hiện sao lưu dự phòng bảo đảm
an toàn dữ liệu như sau:
1. Lập danh sách hệ thống thông tin theo 1. Lập danh sách hệ thống thông tin theo cấp Thay đổi căn cứ lập
mức độ quan trọng cần được sao lưu, kèm độ quan trọng cần được sao lưu, kèm theo danh sách.
theo thời gian lưu trữ, định kỳ sao lưu, thời gian lưu trữ, định kỳ sao lưu, phương
phương pháp sao lưu và thời gian kiểm tra pháp sao lưu và thời gian kiểm tra phục hồi
phục hồi hệ thống từ dữ liệu sao lưu. hệ thống từ dữ liệu sao lưu.
2. Dữ liệu của các hệ thống thông tin từ 2. Dữ liệu của các hệ thống thông tin từ cấp Thay đổi đối tượng
mức độ 2 trở lên phải có phương án tự độ 3 trở lên phải có phương án tự động sao áp dụng.
động sao lưu phù hợp với tần suất thay lưu phù hợp với tần suất thay đổi của dữ liệu
đổi của dữ liệu và bảo đảm nguyên tắc dữ và bảo đảm nguyên tắc dữ liệu phát sinh phải
liệu phát sinh phải được sao lưu trong được sao lưu trong vòng 24 giờ; dữ liệu của
vòng 24 giờ. Dữ liệu sao lưu phải được các hệ thống thông tin còn lại thực hiện sao
lưu trữ ra phương tiện lưu trữ ngoài (như lưu định kỳ theo quy định của tổ chức.
băng từ, đĩa cứng, đĩa quang hoặc phương
tiện lưu trữ khác) và cất giữ, bảo quản an
toàn tách rời với khu vực lắp đặt hệ thống
thông tin nguồn.
N/A 3. Dữ liệu sao lưu của các hệ thống thông tin

từ cấp độ 3 trở lên phải được lưu trữ ra
phương tiện lưu trữ ngoài (như băng từ, đĩa
cứng, đĩa quang hoặc phương tiện lưu trữ
khác) và cất giữ, bảo quản an toàn tách rời
với khu vực lắp đặt hệ thống thông tin nguồn
ngay trong ngày làm việc tiếp theo ngày hoàn
thành việc sao lưu.
3. Đối với hệ thống thông tin từ mức độ 2 4. Kiểm tra, phục hồi dữ liệu sao lưu từ Thay đổi yêu cầu
trở lên phải kiểm tra, phục hồi dữ liệu sao phương tiện lưu trữ ngoài theo định kỳ tối đối với kiểm tra,
lưu từ phương tiện lưu trữ ngoài tối thiểu thiểu: phụ hổi dữ liệu.
sáu tháng một lần.
a) Một năm một lần đối với hệ thống thông
tin từ cấp độ 3 trở lên;
b) Hai năm một lần với các hệ thống khác.
4. Tổ chức có cả hệ thống thông tin chính
và dự phòng đặt ngoài lãnh thổ Việt Nam
phải thực hiện lưu trữ thông tin cá nhân,
dữ liệu giao dịch của khách hàng tại Việt
Nam theo quy định của pháp luật Việt
Nam.
Điều 22. Quản lý an toàn, bảo mật hệ Điều 23. Quản lý an toàn, bảo mật hệ
thống mạng thống mạng
Tổ chức thực hiện quản lý an toàn, bảo Tổ chức thực hiện quản lý an toàn, bảo mật
mật hệ thống mạng như sau: hệ thống mạng như sau:
1. Xây dựng quy định về quản lý an toàn, 1. Xây dựng quy định về quản lý an toàn, bảo
bảo mật hệ thống mạng và quản lý các mật hệ thống mạng và quản lý các thiết bị
thiết bị đầu cuối của toàn bộ hệ thống đầu cuối của toàn bộ hệ thống mạng.
mạng.
2. Lập, lưu trữ hồ sơ về sơ đồ logic và vật 2. Lập, lưu trữ hồ sơ về sơ đồ logic và vật lý
lý đối với hệ thống mạng, bao gồm cả đối với hệ thống mạng, bao gồm cả mạng
mạng diện rộng (WAN/Intranet) và mạng diện rộng (WAN/Intranet) và mạng nội bộ
nội bộ (LAN). (LAN).
3. Xây dựng hệ thống mạng của tổ chức 3. Xây dựng hệ thống mạng của tổ chức đáp
đáp ứng yêu cầu tối thiểu sau: ứng yêu cầu tối thiểu sau:
a) Chia tách thành các vùng mạng khác a) Chia tách thành các vùng mạng khác nhau Thay đổi vùng
nhau theo đối tượng sử dụng, mục đích sử theo đối tượng sử dụng, mục đích sử dụng và mạng.
dụng và hệ thống thông tin, tối thiểu: (i) hệ thống thông tin, tối thiểu: (i) Có phân
Có phân vùng mạng riêng cho máy chủ vùng mạng riêng cho máy chủ ứng dụng và
của hệ thống thông tin từ mức độ 2 trở cơ sở dữ liệu của hệ thống thông tin từ cấp
lên; (ii) Có phân vùng mạng trung gian độ 3 trở lên; (ii) Có phân vùng mạng trung
(DMZ) để cung cấp dịch vụ trên mạng gian (DMZ) để cung cấp dịch vụ trên mạng
Internet; (iii) Có phân vùng mạng riêng để Internet; (iii) Có phân vùng mạng riêng để
cung cấp dịch vụ mạng không dây; cung cấp dịch vụ mạng không dây;
b) Có thiết bị có chức năng tường lửa để b) Có thiết bị có chức năng tường lửa để
kiểm soát các kết nối, truy cập vào ra các kiểm soát các kết nối, truy cập vào ra các
vùng mạng quan trọng; vùng mạng quan trọng;
c) Có thiết bị có chức năng tường lửa và c) Có thiết bị có chức năng tường lửa và
chức năng phát hiện phòng chống xâm chức năng phát hiện phòng chống xâm nhập
nhập để kiểm soát kết nối, truy cập từ để kiểm soát kết nối, truy cập từ mạng không
mạng không tin cậy vào hệ thống mạng tin cậy vào hệ thống mạng của tổ chức;
của tổ chức;
d) Có giải pháp kiểm soát, phát hiện và d) Có giải pháp kiểm soát, phát hiện và ngăn Thay đổi cấp độ của
ngăn chặn kịp thời các kết nối, truy cập chặn kịp thời các kết nối, truy cập trái phép hệ thống thông tin
trái phép vào hệ thống mạng nội bộ của tổ vào hệ thống mạng nội bộ của tổ chức có hệ được áp dụng.
chức có hệ thống thông tin từ mức độ 2 thống thông tin từ cấp độ 3 trở lên;
trở lên;
đ) Có phương án cân bằng tải và phương đ) Có phương án cân bằng tải và phương án Thay đổi cấp độ của
án ứng phó tấn công từ chối dịch vụ đối ứng phó tấn công từ chối dịch vụ đối với các hệ thống thông tin
với các hệ thống thông tin từ mức độ 2 trở hệ thống thông tin từ cấp độ 3 trở lên cung được áp dụng.
lên cung cấp dịch vụ trên mạng Internet. cấp dịch vụ trên mạng Internet.
4. Thiết lập, cấu hình các tính năng theo 4. Thiết lập, cấu hình các tính năng theo thiết
thiết kế của các trang thiết bị an ninh kế của các trang thiết bị an ninh mạng; thực
mạng; thực hiện các biện pháp, giải pháp hiện các biện pháp, giải pháp để dò tìm và
để dò tìm và phát hiện kịp thời các điểm phát hiện kịp thời các điểm yếu, lỗ hổng về
yếu, lỗ hổng về mặt kỹ thuật của hệ thống mặt kỹ thuật của hệ thống mạng; thường
mạng; thường xuyên kiểm tra, phát hiện xuyên kiểm tra, phát hiện những kết nối,
những kết nối, trang thiết bị, phần mềm trang thiết bị, phần mềm cài đặt bất hợp pháp
cài đặt bất hợp pháp vào mạng. vào mạng.
Điều 23. Trao đổi thông tin Điều 24. Trao đổi thông tin
Trách nhiệm của tổ chức trong việc trao Khi thực hiện trao đổi thông tin với khách
đổi thông tin với khách hàng và bên thứ hàng và bên thứ ba, tổ chức có trách nhiệm
ba: sau:
1. Ban hành quy định về trao đổi thông tin 1. Ban hành quy định về trao đổi thông tin
tối thiểu gồm: loại thông tin trao đổi; tối thiểu gồm: loại thông tin trao đổi; quyền
quyền và trách nhiệm của cá nhân khi tiếp và trách nhiệm của cá nhân khi tiếp cận
cận thông tin; phương tiện trao đổi thông thông tin; phương tiện trao đổi thông tin;
tin; biện pháp bảo đảm tính toàn vẹn, bảo biện pháp bảo đảm tính toàn vẹn, bảo mật
mật khi truyền nhận, xử lý, lưu trữ thông khi truyền nhận, xử lý, lưu trữ thông tin; chế
tin; chế độ bảo quản thông tin. độ bảo quản thông tin.
2. Khi trao đổi thông tin nội bộ và thông 2. Khi trao đổi thông tin cá nhân, thông tin Bổ sung đối tượng
tin bí mật với bên ngoài phải có văn bản nội bộ và thông tin bí mật với bên ngoài, tổ yêu cầu áp dụng
thỏa thuận, xác định trách nhiệm và nghĩa chức phải có văn bản thỏa thuận, xác định
vụ của các bên tham gia trong việc sử trách nhiệm và nghĩa vụ của các bên tham
dụng, bảo đảm an toàn thông tin. gia trong việc sử dụng, bảo đảm an toàn
thông tin.
3. Các thông tin bí mật phải được mã hóa 3. Các thông tin bí mật phải được mã hóa Yêu cầu đối với hệ
hoặc áp dụng các biện pháp bảo mật thông hoặc áp dụng các biện pháp bảo mật thông thống thông tin cấp
tin trước khi trao đổi. tin trước khi trao đổi. Đối với hệ thống độ 5 để mã hoá, giải
thông tin cấp độ 5, tổ chức phải sử dụng mã thông tin bí mật
kết nối mạng an toàn và các thiết bị, và khi trao đối
phương tiện chuyên dụng để mã hóa, giải thông tin.
mã thông tin bí mật và khi trao đổi thông
tin.
4. Thực hiện biện pháp bảo vệ trang thiết 4. Thực hiện biện pháp bảo vệ trang thiết bị,
bị, phần mềm phục vụ trao đổi thông tin phần mềm phục vụ trao đổi thông tin nhằm
nhằm hạn chế việc xâm nhập, khai thác hạn chế việc xâm nhập, khai thác bất hợp
bất hợp pháp. pháp.
5. Thực hiện các biện pháp quản lý, giám 5. Thực hiện các biện pháp quản lý, giám sát
sát và kiểm soát chặt chẽ các trang thông và kiểm soát chặt chẽ các trang thông tin
tin điện tử cung cấp thông tin, dịch vụ, điện tử cung cấp thông tin, dịch vụ, giao dịch
giao dịch trực tuyến cho khách hàng. trực tuyến cho khách hàng.
Điều 24. Quản lý dịch vụ giao dịch trực Điều 25. Quản lý hệ thống thông tin cung
tuyến cấp dịch vụ giao dịch trực tuyến
1. Yêu cầu đối với hệ thống thông tin của 1. Hệ thống thông tin cung cấp dịch vụ trực Yêu cầu tiêu chuẩn
tổ chức thực hiện cung cấp dịch vụ giao tuyến cho khách hàng phải tuân thủ tiêu đối với hệ thống tin
dịch trực tuyến cho khách hàng: chuẩn TCVN 11930:2017 (tiêu chuẩn cung cấp dịch vụ
Công nghệ thông tin - Các kỹ thuật an trực tuyến cho
toàn - Yêu cầu cơ bản về an toàn hệ thống khách hàng.
thông tin theo cấp độ) và các yêu cầu sau:
a) Bảo đảm tính toàn vẹn của dữ liệu trao a) Bảo đảm tính toàn vẹn của dữ liệu trao đổi
đổi với khách hàng trong giao dịch trực với khách hàng trong giao dịch trực tuyến;
tuyến;
b) Dữ liệu trên đường truyền phải bảo b) Dữ liệu trên đường truyền phải bảo đảm Thay đổi mục đích
đảm tính bí mật và phải được truyền đầy tính bí mật và phải được truyền đầy đủ, đúng biện pháp bảo vệ.
đủ, đúng địa chỉ và có biện pháp bảo vệ địa chỉ và có biện pháp bảo vệ để phát hiện
để tránh bị sửa đổi hoặc nhân bản trái các thay đổi hoặc sao chép trái phép;
phép;
c) Đánh giá mức độ rủi ro trong giao dịch c) Đánh giá cấp độ rủi ro trong giao dịch trực
trực tuyến theo đối tượng khách hàng, loại tuyến theo đối tượng khách hàng, loại giao
giao dịch, hạn mức giao dịch để cung cấp dịch, hạn mức giao dịch để cung cấp giải
giải pháp xác thực giao dịch phù hợp theo pháp xác thực giao dịch phù hợp theo quy
quy định của Ngân hàng Nhà nước; định của Ngân hàng Nhà nước;
d) Trang thông tin điện tử giao dịch trực d) Trang thông tin điện tử giao dịch trực
tuyến phải được áp dụng các biện pháp tuyến phải được áp dụng các biện pháp
chứng thực chống giả mạo và ngăn chặn, chứng thực chống giả mạo và ngăn chặn,
chống sửa đổi trái phép. chống sửa đổi trái phép.
2. Xác thực giao dịch của khách hàng phải
được thực hiện trực tiếp tại hệ thống
thông tin của tổ chức. Trường hợp tổ chức
sử dụng dịch vụ xác thực của bên thứ ba
thì tổ chức phải quản lý tối thiểu một yếu
tố xác thực.
3. Hệ thống dịch vụ giao dịch trực tuyến 2. Hệ thống dịch vụ giao dịch trực tuyến phải
phải được áp dụng các biện pháp để giám được áp dụng các biện pháp để giám sát chặt
sát chặt chẽ và phát hiện, cảnh báo về: chẽ và phát hiện, cảnh báo về:
a) Giao dịch đáng ngờ dựa vào các tiêu a) Giao dịch đáng ngờ dựa vào các tiêu chí
chí tối thiểu gồm: thời gian giao dịch, địa tối thiểu gồm: thời gian giao dịch, địa điểm
điểm giao dịch (vị trí địa lý, địa chỉ IP giao dịch (vị trí địa lý, địa chỉ IP mạng), tần
mạng), tần suất giao dịch, số tiền giao suất giao dịch, số tiền giao dịch, số lần xác
dịch, số lần xác thực sai quy định; thực sai quy định;
b) Hoạt động bất thường của hệ thống; b) Hoạt động bất thường của hệ thống;
c) Các cuộc tấn công từ chối dịch vụ (DoS c) Các cuộc tấn công từ chối dịch vụ (DoS –
- Denial of Service attack), tấn công từ Denial of Service attack), tấn công từ chối
chối dịch vụ phân tán (DDoS - Distributed dịch vụ phân tán (DdoS - Distributed Denial
Denial of Service attack). of Service attack).
4. Tổ chức hướng dẫn các biện pháp bảo 3. Tổ chức hướng dẫn các biện pháp bảo đảm
đảm an toàn thông tin và cảnh báo rủi ro an toàn thông tin và cảnh báo rủi ro cho
cho khách hàng trước khi tham gia sử khách hàng trước khi tham gia sử dụng dịch
dụng dịch vụ giao dịch trực tuyến và theo vụ giao dịch trực tuyến và theo định kỳ.
định kỳ.
5. Khi cung cấp phần mềm ứng dụng giao 4. Khi cung cấp phần mềm ứng dụng giao
dịch trực tuyến trên Internet phải áp dụng dịch trực tuyến trên Internet, tổ chức phải áp
các biện pháp bảo đảm tính toàn vẹn của dụng các biện pháp bảo đảm tính toàn vẹn
phần mềm. của phần mềm.
Điều 25. Giám sát và ghi nhật ký hoạt Điều 26. Giám sát và ghi nhật ký hoạt
động của hệ thống thông tin động của hệ thống thông tin
Tổ chức thực hiện giám sát và ghi nhật ký Tổ chức thực hiện giám sát và ghi nhật ký TT 09 quy định tổ
hoạt động của hệ thống thông tin như sau: hoạt động của hệ thống thông tin từ cấp độ chức thực hiện
2 trở lên như sau: giám sát và ghi nhật
ký hoạt động của hệ
thống thông tin từ
cấp độ 2 trở lên.
1. Ghi và lưu trữ nhật ký về hoạt động của 1. Ghi và lưu trữ nhật ký về hoạt động của hệ Nội dung tối thiểu
hệ thống thông tin và người sử dụng, các thống thông tin và người sử dụng, các lỗi ghi nhật ký
lỗi phát sinh, các sự cố an toàn thông tin. phát sinh, các sự cố an toàn thông tin nếu hệ
thống hỗ trợ, tối thiểu bao gồm:
a) Thông tin kết nối mạng (firewall log);
b) Thông tin đăng nhập;
c) Thông tin thay đổi cấu hình;
d) Thông tin truy cập dữ liệu và dịch vụ quan
trọng (nếu có);
đ) Thông tin các lỗi phát sinh trong quá trình
hoạt động;
e) Thông tin cảnh báo từ các thiết bị;
g) Thông tin hiệu năng hoạt động của thiết bị
(đối với hệ thống thông tin từ cấp độ 3 trở
lên).
...Dữ liệu nhật ký của các hệ thống 2. Dữ liệu nhật ký của các hệ thống thông tin Thay đổi yêu cầu
thông tin từ mức độ 2 trở lên phải cấp độ 2 phải được lưu trực tuyến tối thiểu 1 lưu trữ trực tuyến.
được lưu trữ trực tuyến tối thiểu 3 tháng và sao lưu tối thiểu 6 tháng. Dữ liệu
tháng theo hình thức tập trung và sao nhật ký của các hệ thống thông tin từ cấp
lưu tối thiểu một năm. độ 3 trở lên phải được lưu trực tuyến tối
thiểu 3 tháng theo hình thức tập trung và
sao lưu tối thiểu một năm.
N/A 3. Có phương án giám sát, cảnh báo khi có

thay đổi thông tin bí mật lưu trên hệ thống
lưu trữ/phương tiện lưu trữ của các hệ thống
thông tin từ cấp độ 4 trở lên.
2. Bảo vệ các chức năng ghi nhật ký và 4. Bảo vệ các chức năng ghi nhật ký và thông
thông tin nhật ký, chống giả mạo và truy tin nhật ký, chống giả mạo, thay đổi và truy
cập trái phép; bảo đảm người quản trị hệ cập trái phép; bảo đảm người quản trị hệ
thống và người sử dụng không thể xóa hay thống và người sử dụng không thể xóa hay
sửa đổi nhật ký hệ thống ghi lại các hoạt sửa đổi nhật ký hệ thống ghi lại các hoạt
động của chính họ. động của chính họ.
3. Thực hiện việc đồng bộ thời gian giữa 5. Thực hiện việc đồng bộ thời gian giữa các
các hệ thống thông tin. hệ thống thông tin.
Điều 26. Phòng chống mã độc Điều 27. Phòng chống mã độc
Tổ chức xây dựng và thực hiện quy định Tổ chức xây dựng và thực hiện quy định về
về phòng chống mã độc như sau: phòng chống mã độc như sau:
1. Xác định trách nhiệm của cá nhân và 1. Xác định trách nhiệm của cá nhân và các
các bộ phận liên quan trong công tác bộ phận liên quan trong công tác phòng
phòng chống mã độc. chống mã độc.
2. Triển khai biện pháp, giải pháp phòng 2. Triển khai biện pháp, giải pháp phòng
chống mã độc cho toàn bộ hệ thống thông chống mã độc cho toàn bộ hệ thống thông tin
tin của tổ chức. của tổ chức.
3. Cập nhật mẫu mã độc và phần mềm 3. Cập nhật thường xuyên mẫu mã độc và Bổ sung thời gian
phòng chống mã độc mới. phần mềm phòng chống mã độc mới: thiết thiết lập cập nhật
lập cập nhật tự động hoặc theo lịch định mẫu mã độc và
kỳ hàng ngày. phần mền phòng
chống mã độc mới.
4. Kiểm tra, diệt mã độc đối với vật mang 4. Kiểm tra, diệt mã độc đối với vật mang tin Tổ chức kiểm tra,
tin nhận từ bên ngoài trước khi sử dụng. trước khi sử dụng. diệt mã độc đối với
vật mang tin trước
khi sử dụng.
5. Kiểm soát việc cài đặt phần mềm bảo 5. Kiểm soát việc cài đặt phần mềm bảo đảm
đảm tuân thủ theo quy chế an toàn thông tuân thủ theo quy chế an toàn thông tin của
tin của tổ chức. tổ chức.
6. Kiểm soát thư điện tử lạ, các tệp tin 6. Kiểm soát thư điện tử lạ, các tệp tin đính
đính kèm hoặc các liên kết trong các thư kèm hoặc các liên kết trong các thư lạ.
lạ.
Mục 5. QUẢN LÝ TRUY CẬP Mục 5. QUẢN LÝ TRUY CẬP
Điều 27. Yêu cầu đối với kiểm soát truy Điều 28. Yêu cầu đối với kiểm soát truy
cập cập
1. Tổ chức quy định về quản lý truy cập 1. Tổ chức quy định về quản lý truy cập đối
đối với người sử dụng, nhóm người sử với người sử dụng, nhóm người sử dụng, các
dụng, các thiết bị, công cụ sử dụng để truy thiết bị, công cụ sử dụng để truy cập hệ
cập hệ thống thông tin bảo đảm đáp ứng thống thông tin bảo đảm đáp ứng yêu cầu
yêu cầu nghiệp vụ và yêu cầu an toàn nghiệp vụ và yêu cầu an toàn thông tin, bao
thông tin, bao gồm các nội dung cơ bản gồm các nội dung cơ bản sau:
sau:
a) Đăng ký, cấp phát, gia hạn và thu hồi a) Đăng ký, cấp phát, gia hạn và thu hồi
quyền truy cập của người sử dụng; quyền truy cập của người sử dụng;
b) Mỗi tài Khoản truy cập hệ thống phải b) Mỗi tài khoản truy cập hệ thống phải được
được gán cho một người sử dụng duy gán cho một người sử dụng duy nhất; trường
nhất; trường hợp chia sẻ tài Khoản dùng hợp chia sẻ tài khoản dùng chung để truy cập
chung để truy cập hệ thống thông tin thì hệ thống thông tin thì phải được phê duyệt
phải được phê duyệt bởi cấp có thẩm bởi cấp có thẩm quyền và xác định được
quyền và xác định được trách nhiệm cá trách nhiệm cá nhân tại mỗi thời điểm sử
nhân tại mỗi thời điểm sử dụng; dụng;
N/A c) Đối với tài khoản để các ứng dụng, dịch Yêu cầu kiểm soát
vụ kết nối tự động, phải được giao cho một đối với tài khoản để
cá nhân quản lý và được giới hạn quyền truy các ứng dụng, dịch
cập theo mục đích sử dụng; cá nhân được vụ kết nối tự động.
giao quản lý không được phép sử dụng tài
khoản này cho các mục đích khác;
c) Đối với hệ thống thông tin từ mức độ 2 d) Đối với hệ thống thông tin từ cấp độ 3 trở Yêu cầu kiểm soát
trở lên, phải giới hạn và kiểm soát các lên và các hệ thống thông tin có xử lý đối với Hệ thống
truy cập sử dụng tài Khoản có quyền quản thông tin cá nhân của khách hàng phải thông tin từ cấp độ
trị: (i) Thiết lập cơ chế kiểm soát việc tạo giới hạn và kiểm soát các truy cập sử dụng 3 trở lên và các hệ
tài Khoản có quyền quản trị để bảo đảm tài khoản có quyền quản trị: (i) Thiết lập cơ thống thông tin cá
không một tài Khoản nào sử dụng được chế kiểm soát việc tạo tài khoản có quyền nhân của khách
khi chưa được cấp có thẩm quyền phê quản trị để bảo đảm không một tài khoản nào hàng.
duyệt; (ii) Phải có biện pháp giám sát việc sử dụng được khi chưa được cấp có thẩm
sử dụng tài Khoản có quyền quản trị; (iii) quyền phê duyệt; (ii) Phải có biện pháp giám
Việc sử dụng tài Khoản có quyền quản trị sát việc sử dụng tài khoản có quyền quản trị;
phải được giới hạn trong Khoảng thời (iii) Việc sử dụng tài khoản có quyền quản
gian đủ để thực hiện công việc và phải trị phải được giới hạn trong khoảng thời gian
được thu hồi ngay sau khi kết thúc công đủ để thực hiện công việc và phải được thu
việc; hồi ngay sau khi kết thúc công việc; (iv) Việc
kết nối quản trị hệ thống phải qua các
máy chủ trung gian hoặc các hệ thống
quản trị tập trung, không thực hiện trực
tiếp từ máy trạm của người quản trị;
d) Quản lý, cấp phát mã khóa bí mật truy d) Quản lý, cấp phát mã khóa bí mật truy cập
cập hệ thống thông tin; hệ thống thông tin;
đ) Rà soát, kiểm tra, xét duyệt lại quyền e) Rà soát, kiểm tra, xét duyệt lại quyền truy
truy cập của người sử dụng; cập của người sử dụng;
e) Yêu cầu, Điều kiện an toàn thông tin g) Yêu cầu, điều kiện an toàn thông tin đối
đối với các thiết bị, công cụ sử dụng để với các thiết bị, công cụ sử dụng để truy cập.
truy cập.
2. Tổ chức xây dựng quy định về quản lý 2. Tổ chức xây dựng quy định về quản lý mã
mã khóa bí mật đáp ứng các yêu cầu sau: khóa bí mật đáp ứng các yêu cầu sau:
a) Mã khóa bí mật phải có độ dài từ sáu a) Mã khóa bí mật phải có độ dài từ sáu ký tự
ký tự trở lên, cấu tạo gồm các ký tự số, trở lên, cấu tạo gồm các ký tự số, chữ hoa,
chữ hoa, chữ thường và các ký tự đặc biệt chữ thường và các ký tự đặc biệt khác nếu hệ
khác nếu hệ thống cho phép; các yêu cầu thống cho phép; các yêu cầu mã khóa bí mật
mã khóa bí mật hợp lệ phải được kiểm tra hợp lệ phải được kiểm tra tự động khi thiết
tự động khi thiết lập mã khóa bí mật; lập mã khóa bí mật;
b) Các mã khóa bí mật mặc định của nhà b) Các mã khóa bí mật mặc định của nhà sản
sản xuất cài đặt sẵn trên các trang thiết bị, xuất cài đặt sẵn trên các trang thiết bị, phần
phần mềm, cơ sở dữ liệu phải được thay mềm phải được thay đổi trước khi đưa vào sử
đổi trước khi đưa vào sử dụng; dụng;
c) Phần mềm quản lý mã khóa bí mật phải c) Phần mềm quản lý mã khóa bí mật phải có
có các chức năng: (i) Yêu cầu thay đổi mã các chức năng: (i) Yêu cầu thay đổi mã khóa
khóa bí mật lần đầu đăng nhập (không áp bí mật lần đầu đăng nhập (không áp dụng với
dụng với mã khóa bí mật sử dụng một mã khóa bí mật sử dụng một lần); (ii) Thông
lần); (ii) thông báo người sử dụng thay báo người sử dụng thay đổi mã khóa bí mật
đổi mã khóa bí mật sắp hết hạn sử dụng; sắp hết hạn sử dụng; (iii) Hủy hiệu lực của
(iii) hủy hiệu lực của mã khóa bí mật hết mã khóa bí mật hết hạn sử dụng; (iv) Hủy
hạn sử dụng; (iv) hủy hiệu lực của mã hiệu lực của mã khóa bí mật khi người sử
khóa bí mật khi người sử dụng nhập sai dụng nhập sai quá số lần cho phép; (v) Cho
quá số lần cho phép; (v) cho phép thay đổi phép thay đổi ngay mã khóa bí mật bị lộ, có
ngay mã khóa bí mật bị lộ, có nguy cơ bị nguy cơ bị lộ hoặc theo yêu cầu của người sử
lộ hoặc theo yêu cầu của người sử dụng; dụng; (vi) Ngăn chặn việc sử dụng lại mã
(vi) ngăn chặn việc sử dụng lại mã khóa bí khóa bí mật cũ trong một khoảng thời gian
mật cũ trong một Khoảng thời gian nhất nhất định.
định.
3. Tổ chức xây dựng quy định về trách 3. Tổ chức xây dựng quy định về trách nhiệm
nhiệm của người sử dụng khi được cấp của người sử dụng khi được cấp quyền truy
quyền truy cập bao gồm các nội dung: sử cập bao gồm các nội dung: sử dụng mã khóa
dụng mã khóa bí mật đúng quy định; giữ bí mật đúng quy định; giữ bí mật mã khóa bí
bí mật mã khóa bí mật; sử dụng thiết bị, mật; sử dụng thiết bị, công cụ để truy cập;
công cụ để truy cập; thoát khỏi hệ thống thoát khỏi hệ thống khi không làm việc hoặc
khi không làm việc hoặc tạm thời không tạm thời không làm việc trên hệ thống.
làm việc trên hệ thống.
Điều 28. Quản lý truy cập mạng nội bộ Điều 29. Quản lý truy cập mạng nội bộ
Tổ chức xây dựng và triển khai các chính Tổ chức xây dựng và triển khai các chính
sách quản lý truy cập mạng nội bộ đáp sách quản lý truy cập mạng nội bộ đáp ứng
ứng các yêu cầu sau: các yêu cầu sau:
1. Xây dựng và triển khai quy định quản 1. Xây dựng và triển khai quy định quản lý
lý truy cập mạng và các dịch vụ mạng truy cập mạng và các dịch vụ mạng gồm các
gồm các nội dung cơ bản sau: nội dung cơ bản sau:
a) Các mạng và dịch vụ mạng được phép a) Các mạng và dịch vụ mạng được phép sử
sử dụng, cách thức, phương tiện và các dụng, cách thức, phương tiện và các điều
Điều kiện an toàn thông tin để truy cập; kiện an toàn thông tin để truy cập;
b) Trách nhiệm của người quản trị, người b) Trách nhiệm của người quản trị, người
truy cập; truy cập;
c) Thủ tục cấp phát, thay đổi, thu hồi c) Thủ tục cấp phát, thay đổi, thu hồi quyền
quyền kết nối; kết nối;
d) Kiểm soát việc quản trị, truy cập, sử d) Kiểm soát việc quản trị, truy cập, sử dụng
dụng mạng. mạng.
2. Thực hiện các biện pháp kiểm soát chặt 2. Thực hiện các biện pháp kiểm soát chặt
chẽ các kết nối từ mạng không tin cậy vào chẽ các kết nối từ mạng không tin cậy vào
mạng nội bộ của tổ chức bảo đảm an toàn mạng nội bộ của tổ chức bảo đảm an toàn
thông tin. thông tin.
3. Kiểm soát việc cài đặt, sử dụng các 3. Kiểm soát việc cài đặt, sử dụng các công
công cụ phần mềm hỗ trợ truy cập từ xa. cụ phần mềm hỗ trợ truy cập từ xa.
4. Kiểm soát truy cập các cổng dùng để 4. Kiểm soát truy cập các cổng dùng để cấu
cấu hình và quản trị thiết bị mạng. hình và quản trị thiết bị mạng.
5. Cấp quyền truy cập mạng và dịch vụ 5. Cấp quyền truy cập mạng và dịch vụ mạng
mạng phải bảo đảm nguyên tắc quyền vừa phải bảo đảm nguyên tắc quyền vừa đủ để
đủ để thực hiện nhiệm vụ được giao. thực hiện nhiệm vụ được giao.
6. Kết nối từ mạng Internet vào mạng nội 6. Kết nối từ mạng Internet vào mạng nội bộ Yêu cầu đối với
bộ của tổ chức để phục vụ công việc phải của tổ chức để phục vụ công việc phải sử việc kết nối mạng
sử dụng mạng riêng ảo và xác thực đa dụng mạng riêng ảo và xác thực đa yếu tố. Internet vào mạng
thành tố. nội bộ của tổ chức
để phục vụ công
việc.
Điều 29. Quản lý truy cập hệ thống Điều 30. Quản lý truy cập hệ thống thông
thông tin và ứng dụng tin và ứng dụng
Tổ chức xây dựng và triển khai việc quản Tổ chức xây dựng và triển khai việc quản lý
lý truy cập đáp ứng yêu cầu sau: truy cập đáp ứng yêu cầu sau:
1. Kiểm soát những phần mềm tiện ích có 1. Kiểm soát những phần mềm tiện ích có
khả năng ảnh hưởng đến hệ thống thông khả năng ảnh hưởng đến hệ thống thông tin.
tin.
2. Quy định thời gian truy cập vào ứng 2. Quy định thời gian truy cập vào ứng dụng
dụng tương ứng với thời gian hoạt động tương ứng với thời gian hoạt động nghiệp vụ
nghiệp vụ và dịch vụ mà ứng dụng cung và dịch vụ mà ứng dụng cung cấp. Tự động
cấp. Tự động ngắt phiên làm việc của ngắt phiên làm việc của người sử dụng sau
người sử dụng sau một thời gian không sử một thời gian không sử dụng nhằm ngăn
dụng nhằm ngăn chặn sự truy cập trái chặn sự truy cập trái phép.
phép.
3. Quản lý và phân quyền truy cập thông 3. Quản lý và phân quyền truy cập thông tin
tin và ứng dụng bảo đảm nguyên tắc cấp và ứng dụng bảo đảm nguyên tắc cấp quyền
quyền vừa đủ để thực hiện nhiệm vụ được vừa đủ để thực hiện nhiệm vụ được giao của
giao của người sử dụng: người sử dụng:
a) Phân quyền truy cập đến từng thư mục, a) Phân quyền truy cập đến từng thư mục,
chức năng của chương trình; chức năng của chương trình;
b) Phân quyền đọc, ghi, xóa, thực thi đối b) Phân quyền đọc, ghi, xóa, thực thi đối với
với thông tin, dữ liệu, chương trình. thông tin, dữ liệu, chương trình.
4. Các hệ thống thông tin sử dụng chung 4. Các hệ thống thông tin sử dụng chung
nguồn tài nguyên phải được cấp có thẩm nguồn tài nguyên phải được cấp có thẩm
quyền phê duyệt. quyền phê duyệt.
5. Đối với máy chủ thuộc hệ thống thông 5. Đối với máy chủ thuộc hệ thống thông tin Yêu cầu quản lý hệ
tin từ mức độ 2 trở lên phải sử dụng giao từ cấp độ 3 trở lên và các hệ thống thông thống thông tin đối
thức kết nối an toàn và có phương án tin có xử lý thông tin cá nhân của khách với máy chủ thuộc
chống đăng nhập tự động. hàng phải sử dụng giao thức kết nối an toàn hệ thống thông tin
và có phương án chống đăng nhập tự động. từ cấp độ 3 trở lên
và các hệ thống
thông tin có xử lý
thông tin cá nhân
của khách hàng.
N/A 6. Đối với các hệ thống thông tin từ cấp độ 4 Yêu cầu của việc
trở lên phải áp dụng xác thực đa yếu tố khi truy cập quản trị
truy cập quản trị các máy chủ, ứng dụng và các máy chủ, ứng
các thiết bị mạng, an ninh mạng quan trọng. dụng và các thiệt bị
mạng, an ninh quan
trọng đối với hệ
thống thông tin từ
cấp độ 4 trở lên.
Điều 30. Quản lý kết nối Internet Điều 31. Quản lý kết nối Internet
Tổ chức quy định và triển khai việc quản Tổ chức quy định và triển khai việc quản lý
lý kết nối Internet đáp ứng yêu cầu sau: kết nối Internet đáp ứng yêu cầu sau:
1. Quy định quản lý kết nối, truy cập sử 1. Quy định quản lý kết nối, truy cập sử dụng
dụng Internet gồm các nội dung cơ bản Internet gồm các nội dung cơ bản sau:
sau:
a) Trách nhiệm cá nhân và các bộ phận có a) Trách nhiệm cá nhân và các bộ phận có
liên quan trong khai thác sử dụng Internet; liên quan trong khai thác sử dụng Internet;
b) Đối tượng được phép truy cập, kết nối b) Đối tượng được phép truy cập, kết nối sử
sử dụng Internet; dụng Internet;
c) Các hành vi bị cấm, hạn chế; c) Các hành vi bị cấm, hạn chế;
d) Kiểm soát kết nối, truy cập sử dụng d) Kiểm soát kết nối, truy cập sử dụng
Internet; Internet;
đ) Các biện pháp bảo đảm an toàn thông đ) Các biện pháp bảo đảm an toàn thông tin
tin khi kết nối Internet. khi kết nối Internet.
2. Thực hiện quản lý tập trung, thống nhất 2. Thực hiện quản lý tập trung, thống nhất
các cổng kết nối Internet trong toàn bộ tổ các cổng kết nối Internet trong toàn bộ tổ
chức. chức.
3. Triển khai các giải pháp an ninh mạng 3. Triển khai các giải pháp an ninh mạng tại
tại các cổng kết nối Internet để bảo đảm các cổng kết nối Internet để bảo đảm an toàn
an toàn trước các hiểm họa tấn công từ trước các hiểm họa tấn công từ Internet vào
Internet vào mạng nội bộ của tổ chức. mạng nội bộ của tổ chức.
4. Sử dụng các công cụ để dò tìm và phát 4. Sử dụng các công cụ để dò tìm và phát
hiện kịp thời các điểm yếu, lỗ hổng và các hiện kịp thời các điểm yếu, lỗ hổng và các
tấn công, truy cập bất hợp pháp vào hệ tấn công, truy cập bất hợp pháp vào hệ thống
thống mạng nội bộ của tổ chức thông qua mạng nội bộ của tổ chức thông qua cổng kết
cổng kết nối Internet. nối Internet.
Mục 6. QUẢN LÝ SỬ DỤNG DỊCH Mục 6. QUẢN LÝ SỬ DỤNG DỊCH VỤ
VỤ CÔNG NGHỆ THÔNG TIN CỦA CÔNG NGHỆ THÔNG TIN CỦA BÊN
BÊN THỨ BA THỨ BA
Điều 31. Các nguyên tắc chung về sử Điều 32. Các nguyên tắc chung về sử dụng
dụng dịch vụ của bên thứ ba dịch vụ của bên thứ ba
Khi sử dụng dịch vụ công nghệ thông tin Khi sử dụng dịch vụ công nghệ thông tin của
của bên thứ ba, tổ chức bảo đảm các bên thứ ba, tổ chức bảo đảm các nguyên tắc
nguyên tắc sau đây: sau đây:
1. Không làm suy giảm khả năng cung cấp 1. Không làm suy giảm khả năng cung cấp
dịch vụ liên tục của tổ chức cho khách dịch vụ liên tục của tổ chức cho khách hàng.
hàng.
2. Không làm suy giảm việc kiểm soát quy 2. Không làm suy giảm việc kiểm soát quy
trình nghiệp vụ của tổ chức. trình nghiệp vụ của tổ chức.
3. Không làm thay đổi trách nhiệm của tổ 3. Không làm thay đổi trách nhiệm của tổ
chức trong việc bảo đảm an toàn thông chức trong việc bảo đảm an toàn thông tin.
tin.
4. Dịch vụ công nghệ thông tin của bên 4. Dịch vụ công nghệ thông tin của bên thứ
thứ ba phải đáp ứng các quy định về bảo ba phải đáp ứng các quy định về bảo đảm an
đảm an toàn thông tin của tổ chức. toàn thông tin của tổ chức.
Điều 32. Các yêu cầu khi sử dụng dịch Điều 33. Các yêu cầu khi sử dụng dịch vụ
vụ của bên thứ ba của bên thứ ba
Trước khi sử dụng dịch vụ của bên thứ ba, Trước khi sử dụng dịch vụ của bên thứ ba Bổ sung đối tượng
tổ chức thực hiện: triển khai cho các hệ thống thông tin từ cấp áp dụng yêu cầu.
độ 3 trở lên và các hệ thống thông tin có
xử lý thông tin cá nhân của khách hàng, tổ
chức thực hiện:
1. Đánh giá rủi ro công nghệ thông tin, rủi 1. Đánh giá rủi ro công nghệ thông tin, rủi ro
ro hoạt động tối thiểu bao gồm các nội hoạt động tối thiểu bao gồm các nội dung
dung sau: sau:
a) Nhận diện rủi ro, phân tích, ước lượng a) Nhận diện rủi ro, phân tích, ước lượng cấp Thay đổi căn cứ xác
mức độ tổn hại, mối đe dọa đến an toàn độ tổn hại, mối đe dọa đến an toàn thông tin; định.
thông tin;
b) Khả năng kiểm soát các quy trình b) Khả năng kiểm soát các quy trình nghiệp
nghiệp vụ, khả năng cung cấp dịch vụ liên vụ, khả năng cung cấp dịch vụ liên tục, khả
tục cho khách hàng, khả năng thực hiện năng thực hiện nghĩa vụ cung cấp thông tin
nghĩa vụ cung cấp thông tin cho các cơ cho các cơ quan nhà nước;
quan nhà nước;
c) Xác định rõ vai trò, trách nhiệm của c) Xác định rõ vai trò, trách nhiệm của các
các bên liên quan trong việc bảo đảm chất bên liên quan trong việc bảo đảm chất lượng
lượng dịch vụ; dịch vụ;
d) Xây dựng các biện pháp nhằm giảm d) Xây dựng các biện pháp nhằm giảm thiểu
thiểu rủi ro, biện pháp phòng ngừa, ứng rủi ro, biện pháp phòng ngừa, ứng cứu, khắc
cứu, khắc phục sự cố; phục sự cố;
đ) Rà soát và Điều chỉnh chính sách quản đ) Rà soát và điều chỉnh chính sách quản lý
lý rủi ro (nếu có). rủi ro (nếu có).
2. Trong trường hợp sử dụng dịch vụ điện 2. Trong trường hợp sử dụng dịch vụ điện
toán đám mây, ngoài các yêu cầu tại toán đám mây, ngoài các yêu cầu tại khoản 1
Khoản 1 Điều này, tổ chức thực hiện: Điều này, tổ chức thực hiện:
a) Phân loại hoạt động, nghiệp vụ dự kiến a) Phân loại hoạt động, nghiệp vụ dự kiến
triển khai trên điện toán đám mây dựa trên triển khai trên điện toán đám mây dựa trên
đánh giá tác động của hoạt động, nghiệp đánh giá tác động của hoạt động, nghiệp vụ
vụ đó với hoạt động của tổ chức; đó với hoạt động của tổ chức;
b) Xây dựng phương án dự phòng đối với b) Xây dựng phương án dự phòng đối với các Thay đổi căn cứ xác
các cấu phần của hệ thống thông tin từ cấu phần của hệ thống thông tin từ cấp độ 3 định.
mức độ 2 trở lên. Phương án dự phòng trở lên. Phương án dự phòng phải được kiểm
phải được kiểm thử và đánh giá sẵn sàng thử và đánh giá sẵn sàng thay thế cho các
thay thế cho các hoạt động, nghiệp vụ hoạt động, nghiệp vụ triển khai trên điện
triển khai trên điện toán đám mây; toán đám mây;
c) Xây dựng các tiêu chí lựa chọn bên thứ c) Xây dựng các tiêu chí lựa chọn bên thứ ba
ba đáp ứng yêu cầu quy định tại Điều 33 đáp ứng yêu cầu quy định tại Điều 34 Thông
Thông tư này; tư này;
d) Rà soát, bổ sung, áp dụng các biện d) Rà soát, bổ sung, áp dụng các biện pháp
pháp bảo đảm an toàn thông tin của tổ bảo đảm an toàn thông tin của tổ chức, giới
chức, giới hạn truy cập từ điện toán đám hạn truy cập từ điện toán đám mây đến các
mây đến các hệ thống thông tin của tổ hệ thống thông tin của tổ chức.
chức.
3. Trường hợp thuê bên thứ ba thực hiện 3. Trường hợp thuê bên thứ ba thực hiện toàn Thay đổi đối tượng
toàn bộ công việc quản trị hệ thống thông bộ công việc quản trị hệ thống thông tin từ áp dụng.
tin từ mức độ 2 trở lên, tổ chức thực hiện cấp độ 3 trở lên và các hệ thống thông tin
đánh giá rủi ro theo quy định tại Khoản 1 xử lý thông tin khách hàng, tổ chức thực
Điều này và gửi báo cáo đánh giá rủi ro hiện đánh giá rủi ro theo quy định tại khoản
cho Ngân hàng Nhà nước (Cục Công nghệ 1 Điều này và gửi báo cáo đánh giá rủi ro
thông tin). cho Ngân hàng Nhà nước (Cục Công nghệ
thông tin).
Điều 33. Tiêu chí lựa chọn bên thứ ba Điều 34. Tiêu chí lựa chọn bên thứ ba
cung cấp dịch vụ điện toán đám mây cung cấp dịch vụ điện toán đám mây
Tiêu chí lựa chọn bên thứ ba bao gồm các Tiêu chí lựa chọn bên thứ ba bao gồm các
nội dung tối thiểu sau: nội dung tối thiểu sau:
1. Bên thứ ba phải là doanh nghiệp. 1. Bên thứ ba phải là doanh nghiệp.
2. Có hạ tầng công nghệ thông tin tương 2. Có hạ tầng công nghệ thông tin tương ứng
ứng với dịch vụ mà tổ chức sử dụng đáp với dịch vụ mà tổ chức sử dụng đáp ứng các
ứng các yêu cầu sau: yêu cầu sau:
a) Các quy định của pháp luật Việt Nam; a) Các quy định của pháp luật Việt Nam;
b) Có chứng nhận quốc tế còn hiệu lực về b) Có chứng nhận quốc tế còn hiệu lực về
bảo đảm an toàn thông tin. bảo đảm an toàn thông tin.
Điều 34. Hợp đồng sử dụng dịch vụ với Điều 35. Hợp đồng sử dụng dịch vụ với
bên thứ ba bên thứ ba
Hợp đồng sử dụng dịch vụ ký kết với bên Hợp đồng sử dụng dịch vụ ký kết với bên thứ Quy định đối tượng
thứ ba phải có tối thiểu những nội dung ba triển khai cho các hệ thống thông tin từ áp dụng
sau: cấp độ 3 trở lên và các hệ thống thông tin
có xử lý thông tin cá nhân của khách hàng
phải có tối thiểu những nội dung sau:
1. Cam kết của bên thứ ba về bảo đảm an 1. Cam kết của bên thứ ba về bảo đảm an
toàn thông tin bao gồm: toàn thông tin bao gồm:
a) Đáp ứng yêu cầu quy định tại Điều 33
Thông tư này;
b) Không sao chép, thay đổi, sử dụng hay a) Không sao chép, thay đổi, sử dụng hay
cung cấp dữ liệu của tổ chức sử dụng dịch cung cấp dữ liệu của tổ chức sử dụng dịch vụ
vụ cho cá nhân, tổ chức khác, trừ trường cho cá nhân, tổ chức khác, trừ trường hợp có
hợp có yêu cầu của cơ quan nhà nước có yêu cầu của cơ quan nhà nước có thẩm quyền
thẩm quyền theo quy định của pháp luật; theo quy định của pháp luật; trong trường
trong trường hợp này, bên thứ ba phải hợp này, bên thứ ba phải thông báo cho tổ
thông báo cho tổ chức sử dụng dịch vụ chức sử dụng dịch vụ trước khi cung cấp dữ
trước khi cung cấp dữ liệu, trừ khi việc liệu, trừ khi việc thông báo sẽ vi phạm pháp
thông báo sẽ vi phạm pháp luật Việt Nam; luật Việt Nam;
c) Phổ biến cho nhân sự của bên thứ ba b) Phổ biến cho nhân sự của bên thứ ba tham
tham gia thực hiện hợp đồng các quy định gia thực hiện hợp đồng các quy định về bảo
về bảo đảm an toàn thông tin của tổ chức, đảm an toàn thông tin của tổ chức, thực hiện
thực hiện các biện pháp giám sát bảo đảm các biện pháp giám sát bảo đảm tuân thủ.
tuân thủ.
2. Quy định cụ thể thời gian tối đa có thể 2. Quy định cụ thể thời gian tối đa có thể
gián đoạn dịch vụ và thời gian khắc phục gián đoạn dịch vụ và thời gian khắc phục sự
sự cố, các yêu cầu liên quan đến bảo đảm cố, các yêu cầu liên quan đến bảo đảm hoạt
hoạt động liên tục (dự phòng tại chỗ, sao động liên tục (dự phòng tại chỗ, sao lưu dữ
lưu dữ liệu, dự phòng thảm họa), các yêu liệu, dự phòng thảm họa), các yêu cầu liên
cầu liên quan đến năng lực xử lý, tính quan đến năng lực xử lý, tính toán, lưu trữ,
toán, lưu trữ, các biện pháp thực hiện khi các biện pháp thực hiện khi chất lượng dịch
chất lượng dịch vụ không được bảo đảm. vụ không được bảo đảm.
3. Trường hợp bên thứ ba sử dụng nhà 3. Trường hợp bên thứ ba sử dụng nhà thầu
thầu phụ không làm thay đổi trách nhiệm phụ không làm thay đổi trách nhiệm của bên
của bên thứ ba đối với dịch vụ mà tổ chức thứ ba đối với dịch vụ mà tổ chức sử dụng.
sử dụng.
4. Dữ liệu phát sinh trong quá trình sử 4. Dữ liệu phát sinh trong quá trình sử dụng
dụng dịch vụ là tài sản của tổ chức. Khi dịch vụ là tài sản của tổ chức. Khi chấm dứt
chấm dứt sử dụng dịch vụ: sử dụng dịch vụ:
a) Bên thứ ba thực hiện trả lại toàn bộ dữ a) Bên thứ ba thực hiện trả lại hoặc hỗ trợ Bổ sung nghĩa vụ
liệu triển khai và dữ liệu phát sinh trong chuyển toàn bộ dữ liệu triển khai và dữ liệu hỗ trợ chuyển toàn
quá trình sử dụng dịch vụ; phát sinh trong quá trình sử dụng dịch vụ về bộ dữ liệu triển khai
cho tổ chức; và dữ liệu phát sinh
trong quá trình sử
dụng dịch vụ.
b) Bên thứ ba cam kết hoàn thành việc b) Bên thứ ba cam kết hoàn thành việc xóa
xóa toàn bộ dữ liệu của tổ chức trong một toàn bộ dữ liệu của tổ chức trong một khoảng
Khoảng thời gian xác định. thời gian xác định.
5. Bên thứ ba phải thông báo cho tổ chức 5. Bên thứ ba phải thông báo cho tổ chức khi
khi phát hiện nhân sự vi phạm quy định về phát hiện nhân sự vi phạm quy định về an
an toàn thông tin đối với dịch vụ mà tổ toàn thông tin đối với dịch vụ mà tổ chức sử
chức sử dụng. dụng.
6. Hợp đồng sử dụng dịch vụ điện toán 6. Hợp đồng sử dụng dịch vụ điện toán đám
đám mây, ngoài các nội dung quy định tại mây, ngoài các nội dung quy định tại các
các Khoản 1, 2, 3, 4, 5 Điều này, phải bổ khoản 1, 2, 3, 4, 5 Điều này, phải bổ sung
sung thêm những nội dung sau: thêm những nội dung sau:
a) Bên thứ ba phải cung cấp báo cáo kiểm a) Bên thứ ba phải cung cấp báo cáo kiểm
toán tuân thủ công nghệ thông tin do tổ toán tuân thủ công nghệ thông tin do tổ chức
chức kiểm toán độc lập thực hiện hàng kiểm toán độc lập thực hiện hàng năm trong
năm trong thời gian thực hiện hợp đồng; thời gian thực hiện hợp đồng;
b) Bên thứ ba phải cung cấp: công cụ b) Bên thứ ba phải cung cấp: công cụ kiểm
kiểm soát chất lượng dịch vụ đám mây; soát chất lượng dịch vụ đám mây; quy trình
quy trình giám sát, kiểm soát chất lượng giám sát, kiểm soát chất lượng dịch vụ đám
dịch vụ đám mây; mây;
c) Bên thứ ba phải minh bạch các vị trí c) Bên thứ ba phải minh bạch các vị trí
(thành phố, quốc gia) đặt trung tâm dữ (thành phố, quốc gia) đặt trung tâm dữ liệu
liệu bên ngoài lãnh thổ Việt Nam triển bên ngoài lãnh thổ Việt Nam triển khai dịch
khai dịch vụ cho tổ chức; vụ cho tổ chức;
d) Trách nhiệm bảo vệ dữ liệu, chống truy d) Trách nhiệm bảo vệ dữ liệu, chống truy
cập dữ liệu trái phép trên kênh phân phối cập dữ liệu trái phép trên kênh phân phối
dịch vụ từ bên thứ ba đến tổ chức; dịch vụ từ bên thứ ba đến tổ chức;
đ) Bên thứ ba phải hỗ trợ, hợp tác Điều tra đ) Bên thứ ba phải hỗ trợ, hợp tác điều tra
trong trường hợp có yêu cầu từ các cơ trong trường hợp có yêu cầu từ các cơ quan
quan nhà nước có thẩm quyền của Việt nhà nước có thẩm quyền của Việt Nam theo
Nam theo quy định của pháp luật; quy định của pháp luật;
e) Dữ liệu của tổ chức phải được tách biệt e) Dữ liệu của tổ chức phải được tách biệt
với dữ liệu của khách hàng khác sử dụng với dữ liệu của khách hàng khác sử dụng trên
trên cùng nền tảng kỹ thuật do bên thứ ba cùng nền tảng kỹ thuật do bên thứ ba cung
cung cấp. cấp.
Điều 35. Trách nhiệm của tổ chức trong Điều 36. Trách nhiệm của tổ chức trong
quá trình sử dụng dịch vụ của bên thứ quá trình sử dụng dịch vụ của bên thứ ba
ba
Khi sử dụng dịch vụ của bên thứ ba, tổ chức
có trách nhiệm sau:
1. Cung cấp, thông báo và yêu cầu bên thứ 1. Cung cấp, thông báo và yêu cầu bên thứ ba
ba thực hiện các quy định về an toàn thực hiện các quy định về an toàn thông tin
thông tin của tổ chức. của tổ chức.
2. Có quy trình và bố trí nguồn lực để 2. Có quy trình và bố trí nguồn lực để giám
giám sát, kiểm soát các dịch vụ do bên thứ sát, kiểm soát các dịch vụ do bên thứ ba cung
ba cung cấp bảo đảm chất lượng dịch vụ cấp bảo đảm chất lượng dịch vụ theo thỏa
theo thỏa thuận đã ký kết. Đối với dịch vụ thuận đã ký kết. Đối với dịch vụ điện toán
điện toán đám mây, phải giám sát, kiểm đám mây, phải giám sát, kiểm soát chất
soát chất lượng dịch vụ. lượng dịch vụ.
3. Áp dụng các quy định về an toàn thông 3. Áp dụng các quy định về an toàn thông tin
tin của tổ chức đối với trang thiết bị, dịch của tổ chức đối với trang thiết bị, dịch vụ do
vụ do bên thứ ba cung cấp được triển khai bên thứ ba cung cấp được triển khai trên hạ
trên hạ tầng do tổ chức quản lý, sử dụng. tầng do tổ chức quản lý, sử dụng.
4. Quản lý các thay đổi đối với dịch vụ do 4. Quản lý các thay đổi đối với dịch vụ do
bên thứ ba cung cấp bao gồm: thay đổi bên thứ ba cung cấp bao gồm: thay đổi nhà
nhà cung cấp, thay đổi giải pháp, thay đổi cung cấp, thay đổi giải pháp, thay đổi phiên
phiên bản, thay đổi các nội dung quy định bản, thay đổi các nội dung quy định tại Điều
tại Điều 40 Thông tư này; đánh giá đầy đủ 41 Thông tư này; đánh giá đầy đủ tác động
tác động của việc thay đổi, bảo đảm an của việc thay đổi, bảo đảm an toàn khi được
toàn khi được đưa vào sử dụng. đưa vào sử dụng.
5. Áp dụng các biện pháp giám sát chặt 5. Áp dụng các biện pháp giám sát chặt chẽ
chẽ và giới hạn quyền truy cập của bên và giới hạn quyền truy cập của bên thứ ba
thứ ba khi cho phép bên thứ ba truy cập khi cho phép bên thứ ba truy cập vào hệ
vào hệ thống thông tin của tổ chức. thống thông tin của tổ chức.
6. Giám sát nhân sự của bên thứ ba trong 6. Giám sát nhân sự của bên thứ ba trong quá
quá trình thực hiện hợp đồng. Trường hợp trình thực hiện hợp đồng. Trường hợp phát
phát hiện nhân sự bên thứ ba vi phạm quy hiện nhân sự bên thứ ba vi phạm quy định về
định về an toàn thông tin phải thông báo an toàn thông tin phải thông báo và phối hợp
và phối hợp với bên thứ ba áp dụng biện với bên thứ ba áp dụng biện pháp xử lý kịp
pháp xử lý kịp thời. thời.
7. Thu hồi quyền truy cập hệ thống thông 7. Thu hồi quyền truy cập hệ thống thông tin
tin đã được cấp cho bên thứ ba, thay đổi đã được cấp cho bên thứ ba, thay đổi các
các khóa, mã khóa bí mật nhận bàn giao khóa, mã khóa bí mật nhận bàn giao từ bên
từ bên thứ ba ngay sau khi hoàn thành thứ ba ngay sau khi hoàn thành công việc
công việc hoặc kết thúc hợp đồng. hoặc kết thúc hợp đồng.
8. Đối với hệ thống thông tin từ mức độ 2 8. Đối với hệ thống thông tin từ cấp độ 3 trở Thay đổi đối tượng
trở lên hoặc hệ thống thông tin sử dụng lên, các hệ thống thông tin xử lý thông tin áp dụng.
dịch vụ điện toán đám mây, phải đánh giá khách hàng hoặc hệ thống thông tin sử dụng
sự tuân thủ các quy định về bảo đảm an dịch vụ điện toán đám mây, phải đánh giá sự
toàn thông tin của bên thứ ba theo đúng tuân thủ các quy định về bảo đảm an toàn
thỏa thuận đã ký kết. Thực hiện đánh giá thông tin của bên thứ ba theo đúng thỏa
sự tuân thủ định kỳ hàng năm hoặc đột thuận đã ký kết. Thực hiện đánh giá sự tuân
xuất khi có nhu cầu. Việc đánh giá tuân thủ định kỳ hàng năm hoặc đột xuất khi có
thủ có thể sử dụng kết quả kiểm toán công nhu cầu. Việc đánh giá tuân thủ có thể sử
nghệ thông tin của tổ chức kiểm toán độc dụng kết quả kiểm toán công nghệ thông tin
lập. của tổ chức kiểm toán độc lập.
Mục 7. QUẢN LÝ TIẾP NHẬN, PHÁT Mục 7. QUẢN LÝ TIẾP NHẬN, PHÁT
TRIỂN, DUY TRÌ HỆ THỐNG TRIỂN, DUY TRÌ HỆ THỐNG THÔNG
THÔNG TIN TIN
Điều 36. Yêu cầu về an toàn, bảo mật Điều 37. Yêu cầu về an toàn, bảo mật các
các hệ thống thông tin hệ thống thông tin
Khi xây dựng mới hoặc nâng cấp hệ thống Khi xây dựng mới hoặc nâng cấp hệ thống Thay đổi căn cứ
thông tin do tổ chức quản lý trực tiếp, tổ thông tin do tổ chức quản lý trực tiếp, tổ phân loại hệ thống
chức phải thực hiện phân loại hệ thống chức phải thực hiện phân loại hệ thống thông thông tin.
thông tin theo mức độ quan trọng quy tin theo cấp độ quy định tại Điều 5 Thông tư
định tại Khoản 2 Điều 4 Thông tư này. này. Đối với hệ thống thông tin từ cấp độ 2
Đối với hệ thống thông tin từ mức độ 2 trở lên, tổ chức thực hiện:
trở lên, tổ chức thực hiện:
1. Xây dựng tài liệu thiết kế, mô tả về các 1. Xây dựng tài liệu thiết kế, mô tả về các
phương án bảo đảm an toàn hệ thống phương án bảo đảm an toàn hệ thống thông
thông tin. Trong đó các yêu cầu về an tin. Trong đó các yêu cầu về an toàn, bảo mật
toàn, bảo mật được xây dựng đồng thời được xây dựng đồng thời với việc xây dựng
với việc xây dựng các yêu cầu kỹ thuật, các yêu cầu kỹ thuật, nghiệp vụ.
nghiệp vụ.
2. Xây dựng phương án kiểm tra, xác 2. Xây dựng phương án kiểm tra, xác minh
minh hệ thống được triển khai tuân thủ hệ thống được triển khai tuân thủ theo đúng
theo đúng tài liệu thiết kế và yêu cầu bảo tài liệu thiết kế và yêu cầu bảo đảm an toàn
đảm an toàn thông tin trước khi nghiệm thông tin trước khi nghiệm thu. Kết quả kiểm
thu. Kết quả kiểm tra phải lập thành báo tra phải lập thành báo cáo và được cấp có
cáo và được cấp có thẩm quyền phê duyệt thẩm quyền phê duyệt trước khi đưa vào vận
trước khi đưa vào vận hành chính thức. hành chính thức.
3. Giám sát, quản lý chặt chẽ việc thuê 3. Giám sát, quản lý chặt chẽ việc thuê mua
mua phần mềm bên ngoài theo quy định phần mềm bên ngoài theo quy định tại Điều
tại Điều 35 Thông tư này. 36 Thông tư này.
Điều 37. Bảo đảm an toàn, bảo mật ứng Điều 38. Bảo đảm an toàn, bảo mật ứng
dụng dụng
Các chương trình ứng dụng nghiệp vụ Các chương trình ứng dụng nghiệp vụ phải
phải đáp ứng các yêu cầu tối thiểu sau: đáp ứng các yêu cầu tối thiểu sau:
1. Kiểm tra tính hợp lệ của dữ liệu nhập 1. Kiểm tra tính hợp lệ của dữ liệu nhập vào
vào các ứng dụng, bảo đảm dữ liệu được các ứng dụng, bảo đảm dữ liệu được nhập
nhập vào chính xác và hợp lệ. vào chính xác và hợp lệ.
2. Kiểm tra tính hợp lệ của dữ liệu cần 2. Kiểm tra tính hợp lệ của dữ liệu cần được
được xử lý tự động trong các ứng dụng xử lý tự động trong các ứng dụng nhằm phát
nhằm phát hiện thông tin sai lệch do các hiện thông tin sai lệch do các lỗi trong quá
lỗi trong quá trình xử lý hoặc các hành vi trình xử lý hoặc các hành vi sửa đổi thông tin
sửa đổi thông tin có chủ ý. có chủ ý.
3. Có các biện pháp bảo đảm tính xác thực 3. Có các biện pháp bảo đảm tính xác thực và
và bảo vệ sự toàn vẹn của dữ liệu được xử bảo vệ sự toàn vẹn của dữ liệu được xử lý
lý trong các ứng dụng. trong các ứng dụng.
4. Kiểm tra tính hợp lệ của dữ liệu xuất ra 4. Kiểm tra tính hợp lệ của dữ liệu xuất ra từ
từ các ứng dụng, bảo đảm quá trình xử lý các ứng dụng, bảo đảm quá trình xử lý thông
thông tin của các ứng dụng là chính xác tin của các ứng dụng là chính xác và hợp lệ.
và hợp lệ.
5. Mã khóa bí mật của người sử dụng 5. Mã khóa bí mật của người sử dụng trong
trong các hệ thống thông tin từ mức độ 2 các hệ thống thông tin từ cấp độ 2 trở lên
trở lên phải được mã hóa ở lớp ứng dụng. phải được mã hóa ở lớp ứng dụng.
Điều 38. Quản lý mã hóa Điều 39. Quản lý mã hóa

Tổ chức quản lý mã hóa như sau: Tổ chức quản lý mã hóa như sau:
1. Quy định và đưa vào sử dụng các biện 1. Quy định và đưa vào sử dụng các biện
pháp mã hóa theo quy chuẩn kỹ thuật pháp mã hóa theo quy chuẩn kỹ thuật quốc
quốc gia về mã hóa dữ liệu sử dụng trong gia về mã hóa dữ liệu sử dụng trong lĩnh vực
lĩnh vực ngân hàng hoặc tiêu chuẩn quốc ngân hàng hoặc tiêu chuẩn quốc tế đã được
tế đã được công nhận. công nhận.
2. Có biện pháp quản lý khóa mã hóa để 2. Có biện pháp quản lý khóa mã hóa để bảo
bảo vệ thông tin của tổ chức. vệ thông tin của tổ chức.
Điều 39. An toàn, bảo mật trong quá Điều 40. An toàn, bảo mật trong quá trình
trình phát triển phần mềm phát triển phần mềm
1. Tổ chức thực hiện quản lý quá trình 1. Tổ chức thực hiện quản lý quá trình phát
phát triển phần mềm như sau: triển phần mềm như sau:
a) Quản lý, kiểm soát chương trình nguồn. a) Quản lý, kiểm soát mã nguồn. Việc truy
Việc truy cập, tiếp cận chương trình cập, tiếp cận mã nguồn phải được sự phê
nguồn phải được sự phê duyệt của cấp có duyệt của cấp có thẩm quyền;
thẩm quyền;
b) Quản lý, bảo vệ tệp tin cấu hình hệ b) Quản lý, bảo vệ tệp tin cấu hình hệ thống;
thống.
N.A c) Yêu cầu bên thứ ba cung cấp mã nguồn
phần mềm đối với các phần mềm thuê ngoài
gia công (outsourced software) của các hệ
thống thông tin từ cấp độ 2 trở lên.
2. Tổ chức lựa chọn, kiểm soát đối với dữ 2. Tổ chức phải lựa chọn, kiểm soát đối với
liệu kiểm tra, thử nghiệm. Không sử dụng dữ liệu kiểm tra, thử nghiệm. Không sử dụng
dữ liệu thật của hệ thống thông tin vận dữ liệu thật của hệ thống thông tin vận hành
hành chính thức cho hoạt động kiểm thử chính thức cho hoạt động kiểm thử khi chưa
khi chưa thực hiện các biện pháp che giấu thực hiện các biện pháp che giấu hoặc thay
hoặc thay đổi đối với dữ liệu chứa thông đổi đối với dữ liệu chứa thông tin khách
tin khách hàng và thông tin bí mật. hàng và thông tin bí mật.
Điều 40. Quản lý sự thay đổi hệ thống Điều 41. Quản lý sự thay đổi hệ thống
thông tin thông tin
Tổ chức ban hành quy trình, biện pháp Tổ chức ban hành quy trình, biện pháp quản
quản lý và kiểm soát sự thay đổi hệ thống lý và kiểm soát sự thay đổi hệ thống thông
thông tin, tối thiểu bao gồm: tin, tối thiểu bao gồm:
1. Thực hiện ghi chép lại các thay đổi; lập 1. Thực hiện ghi chép lại các thay đổi; lập kế
kế hoạch thay đổi; thực hiện kiểm tra, thử hoạch thay đổi; thực hiện kiểm tra, thử
nghiệm sự thay đổi, báo cáo kết quả; phê nghiệm sự thay đổi, báo cáo kết quả; phê
duyệt kế hoạch thay đổi trước khi áp dụng duyệt kế hoạch thay đổi trước khi áp dụng
chính thức thay đổi phiên bản phần mềm, chính thức thay đổi phiên bản phần mềm, cấu
cấu hình phần cứng, tham số phần mềm hình phần cứng, tham số phần mềm hệ thống,
hệ thống, quy trình vận hành. Có phương quy trình vận hành. Có phương án dự phòng
án dự phòng cho việc phục hồi hệ thống cho việc phục hồi hệ thống trong trường hợp
trong trường hợp thực hiện thay đổi không thực hiện thay đổi không thành công hoặc
thành công hoặc gặp các sự cố không có gặp các sự cố không có khả năng dự tính
khả năng dự tính trước. trước.
2. Kiểm tra, đánh giá tác động để bảo đảm 2. Kiểm tra, đánh giá tác động để bảo đảm hệ
hệ thống thông tin hoạt động ổn định, an thống thông tin hoạt động ổn định, an toàn
toàn trên môi trường mới đối với hệ thống trên môi trường mới đối với hệ thống thông
thông tin từ mức độ 2 trở lên khi thay đổi tin từ cấp độ 3 trở lên khi thay đổi phiên
phiên bản hoặc thay đổi hệ Điều hành, cơ bản hoặc thay đổi hệ điều hành, hệ quản trị
sở dữ liệu, phần mềm lớp giữa. cơ sở dữ liệu, phần mềm lớp giữa.
Điều 41. Đánh giá an ninh bảo mật hệ Điều 42. Kiểm tra, đánh giá an toàn thông
thống thông tin tin
1. Nội dung đánh giá hệ thống thông tin 1. Nội dung kiểm tra, đánh giá an toàn Bổ sung trách
của tổ chức về an ninh bảo mật phải bao thông tin tối thiểu phải bao gồm các nội nhiệm kiểm tra an
gồm các nội dung sau: dung sau: toàn thông tin và
thay đổi nội dung
đánh giá an toàn
thông tin
a) Đánh giá về kiến trúc hệ thống để xác a) Kiểm tra việc tuân thủ quy định của
định tính phù hợp của các thiết bị lắp đặt pháp luật về bảo đảm an toàn hệ thống
với kiến trúc hệ thống tổng thể và yêu cầu thông tin theo cấp độ;
về an ninh bảo mật;
b) Kiểm tra cấu hình các thiết bị bảo mật, b) Đánh giá hiệu quả của biện pháp bảo
các hệ thống cấp quyền truy cập tự động, đảm an toàn hệ thống thông tin;
hệ thống quản lý thiết bị đầu cuối, danh
sách tài Khoản;
c) Kiểm tra thử nghiệm mức độ an toàn c) Đánh giá, phát hiện mã độc, lỗ hổng,
mạng (Penetration Test), bắt buộc phải điểm yếu về mặt kỹ thuật theo quy định
thực hiện đối với các hệ thống thông tin tại Điều 43 Thông tư này;
có kết nối và cung cấp thông tin, dịch vụ
ra Internet, kết nối với khách hàng và bên
thứ ba.
d) Kiểm tra thử nghiệm cấp độ an toàn mạng
(Penetration Test), bắt buộc phải thực hiện
đối với các hệ thống thông tin có kết nối và
cung cấp thông tin, dịch vụ ra Internet, kết
nối với khách hàng và bên thứ ba;
đ) Kiểm tra cấu hình các thiết bị bảo mật, các

hệ thống cấp quyền truy cập tự động, hệ
thống quản lý thiết bị đầu cuối, danh sách tài
khoản.
2. Tổ chức thực hiện đánh giá an ninh bảo 2. Tổ chức thực hiện kiểm tra, đánh giá an
mật đối với hệ thống thông tin từ mức độ toàn thông tin đối với hệ thống thông tin từ
2 trở lên theo các nội dung quy định tại cấp độ 3 trở lên và các hệ thống thông tin
Khoản 1 Điều này trước khi đưa vào vận có xử lý thông tin cá nhân của khách hàng
hành chính thức. theo các nội dung quy định tại khoản 1 Điều
này trước khi đưa vào vận hành chính thức.
3. Trong quá trình vận hành hệ thống 3. Trong quá trình vận hành hệ thống thông
thông tin, tổ chức định kỳ thực hiện đánh tin, tổ chức thực hiện kiểm tra, đánh giá an
giá an ninh bảo mật tối thiểu như sau: toàn thông tin theo quy định tại khoản 1 Điều
này định kỳ tối thiểu như sau:
a) Sáu tháng một lần đối với hệ thống a) Sáu tháng một lần đối với hệ thống thông
thông tin mức độ 3 theo các nội dung tại tin cấp độ 5;
Khoản 1 Điều này;
b) Một năm một lần đối với các hệ thống b) Một năm một lần đối với các hệ thống
thông tin mức độ 2 và các trang thiết bị thông tin cấp độ 4, cấp độ 3 và các trang
giao tiếp trực tiếp với môi trường bên thiết bị giao tiếp trực tiếp với môi trường bên
ngoài như Internet, kết nối với khách hàng ngoài như Internet, kết nối với bên thứ ba;
và bên thứ ba theo các nội dung tại Khoản
1 Điều này;
c) Hai năm một lần đối với hệ thống thông c) Hai năm một lần thực hiện kiểm tra,
tin mức độ 1. đánh giá an toàn thông tin và quản lý rủi
ro an toàn thông tin tổng thể trong hoạt
động của tổ chức.
4. Kết quả đánh giá phải được lập thành 4. Kết quả đánh giá phải được lập thành văn
văn bản báo cáo người đại diện hợp pháp bản báo cáo người đại diện hợp pháp và cấp
và cấp có thẩm quyền. Đối với các nội có thẩm quyền. Đối với các nội dung chưa
dung chưa tuân thủ quy định về an toàn tuân thủ quy định về an toàn thông tin (nếu
thông tin (nếu có) phải đề xuất biện pháp, có) phải đề xuất biện pháp, kế hoạch, thời
kế hoạch, thời hạn xử lý, khắc phục. hạn xử lý, khắc phục.
Điều 42. Quản lý các điểm yếu về mặt Điều 43. Quản lý các điểm yếu về mặt kỹ
kỹ thuật thuật
Tổ chức quản lý các điểm yếu về mặt kỹ Tổ chức quản lý các điểm yếu về mặt kỹ
thuật như sau: thuật như sau:
1. Xây dựng quy định về việc đánh giá, 1. Xây dựng quy định về việc đánh giá, quản
quản lý và kiểm soát các điểm yếu về mặt lý và kiểm soát các điểm yếu về mặt kỹ thuật
kỹ thuật của các hệ thống thông tin đang của các hệ thống thông tin đang sử dụng.
sử dụng.
2. Chủ động phát hiện các điểm yếu về
mặt kỹ thuật thông qua các hoạt động:
a) Thường xuyên cập nhật thông tin liên 2. Thường xuyên cập nhật thông tin liên
quan đến lỗ hổng, điểm yếu về mặt kỹ quan đến lỗ hổng, điểm yếu về mặt kỹ thuật.
thuật;
b) Thực hiện dò quét, phát hiện các mã 3. Thực hiện dò quét lỗ hổng, điểm yếu của Trách nhiệm quét lỗ
độc, lỗ hổng, điểm yếu về mặt kỹ thuật các hệ thống thông tin định kỳ theo quy hổng, điểm yếu của
của các hệ thống thông tin đang sử dụng định tại khoản 3 Điều 42 hoặc khi tiếp hệ thống thông tin
định kỳ tối thiểu như sau: (i) Ba tháng nhận được thông tin liên quan đến lỗ của tổ chức.
một lần đối với hệ thống thông tin mức độ hổng, điểm yếu mới.
3 hoặc các hệ thống thông tin có kết nối
với mạng Internet; (ii) Sáu tháng một lần
đối với các hệ thống thông tin còn lại.
3. Đánh giá mức độ tác động, rủi ro của 4. Đánh giá cấp độ tác động, rủi ro của từng Đánh giá cấp độ tác
từng lỗ hổng, điểm yếu về mặt kỹ thuật lỗ hổng, điểm yếu về mặt kỹ thuật được phát động rủi ro.
được phát hiện của các hệ thống thông tin hiện của các hệ thống thông tin đang sử dụng
đang sử dụng và đưa ra phương án, kế và đưa ra phương án, kế hoạch xử lý.
hoạch xử lý.
4. Xây dựng, tổ chức triển khai các giải 5. Xây dựng, tổ chức triển khai các giải pháp
pháp xử lý, khắc phục và báo cáo kết quả xử lý, khắc phục và báo cáo kết quả xử lý.
xử lý.
Điều 43. Quản lý bảo trì hệ thống thông Điều 44. Quản lý báo trì hệ thống thông
tin tin
Tổ chức quản lý bảo trì hệ thống thông tin Tổ chức quản lý bảo trì hệ thống thông tin
như sau: như sau:
1. Ban hành quy định bảo trì hệ thống 1. Ban hành quy định bảo trì hệ thống thông
thông tin ngay sau khi đưa vào hoạt động tin ngay sau khi đưa vào hoạt động chính
chính thức. Quy định bảo trì tối thiểu bao thức. Quy định bảo trì tối thiểu bao gồm các
gồm các nội dung sau: nội dung sau:
a) Phạm vi, các đối tượng được bảo trì; a) Phạm vi, các đối tượng được bảo trì;
b) Thời điểm, tần suất bảo trì; b) Thời điểm, tần suất bảo trì;
c) Quy trình, kịch bản kỹ thuật để thực c) Quy trình, kịch bản kỹ thuật để thực hiện
hiện bảo trì của từng cấu phần và toàn bộ bảo trì của từng cấu phần và toàn bộ hệ
hệ thống thông tin; thống thông tin;
d) Khi thực hiện bảo trì nếu phát hiện, d) Khi thực hiện bảo trì nếu phát hiện, phát
phát sinh sự cố phải báo cáo cấp có thẩm sinh sự cố phải báo cáo cấp có thẩm quyền
quyền để xử lý; để xử lý;
đ) Phân công và xác định trách nhiệm của đ) Phân công và xác định trách nhiệm của bộ
bộ phận thực hiện bảo trì và giám sát bảo phận thực hiện bảo trì và giám sát bảo trì.
trì.
2. Thực hiện bảo trì theo quy định tại 2. Thực hiện bảo trì theo quy định tại khoản
Khoản 1 Điều này đối với hệ thống thông 1 Điều này đối với hệ thống thông tin do tổ
tin do tổ chức quản lý trực tiếp. chức quản lý trực tiếp.
3. Rà soát quy định bảo trì tối thiểu một 3. Rà soát quy định bảo trì tối thiểu một năm
năm một lần hoặc khi hệ thống thông tin một lần hoặc khi hệ thống thông tin có sự
có sự thay đổi. thay đổi.
Mục 8. QUẢN LÝ SỰ CỐ AN TOÀN Mục 8. QUẢN LÝ SỰ CỐ AN TOÀN
THÔNG TIN THÔNG TIN
Điều 44. Quy trình xử lý sự cố Điều 45. Quy trình xử lý sự cố
Tổ chức quản lý sự cố như sau: Tổ chức quản lý sự cố như sau:
1. Ban hành quy trình xử lý sự cố an toàn 1. Ban hành quy trình xử lý sự cố an toàn
thông tin bao gồm những nội dung tối thông tin bao gồm những nội dung tối thiểu
thiểu sau: sau:
a) Tiếp nhận thông tin về sự cố phát sinh; a) Tiếp nhận thông tin về sự cố phát sinh;
b) Đánh giá mức độ, phạm vi ảnh hưởng b) Đánh giá cấp độ, phạm vi ảnh hưởng của
của sự cố đến hoạt động của hệ thống sự cố đến hoạt động của hệ thống thông tin.
thông tin. Tùy theo mức độ, phạm vi ảnh Tùy theo cấp độ, phạm vi ảnh hưởng của sự
hưởng của sự cố phải báo cáo đến các cấp cố phải báo cáo đến các cấp quản lý tương
quản lý tương ứng để chỉ đạo xử lý; ứng để chỉ đạo xử lý;
c) Thực hiện các biện pháp xử lý, khắc c) Thực hiện các biện pháp xử lý, khắc phục
phục sự cố; sự cố;
d) Ghi nhận hồ sơ và báo cáo kết quả xử d) Ghi nhận hồ sơ và báo cáo kết quả xử lý
lý sự cố. sự cố.
2. Quy định trách nhiệm của cá nhân, tập 2. Quy định trách nhiệm của cá nhân, tập thể
thể trong việc báo cáo, tiếp nhận, xử lý trong việc báo cáo, tiếp nhận, xử lý các sự cố
các sự cố an toàn thông tin. an toàn thông tin.
3. Xây dựng các mẫu biểu để ghi nhận, 3. Xây dựng các mẫu biểu để ghi nhận, lưu
lưu trữ hồ sơ xử lý sự cố. trữ hồ sơ xử lý sự cố.
Điều 45. Kiểm soát và khắc phục sự cố Điều 46. Kiểm soát và khắc phục sự cố
Tổ chức kiểm soát và khắc phục sự cố Tổ chức kiểm soát và khắc phục sự cố như
như sau: sau:
1. Lập danh sách sự cố an toàn thông tin 1. Lập danh sách sự cố an toàn thông tin và Thay đổi các hệ
và phương án xử lý sự cố đối với các hệ phương án xử lý sự cố đối với các hệ thống thống thông tin áp
thống thông tin từ mức độ 2 trở lên; tối thông tin từ cấp độ 3 trở lên và các hệ dụng.
thiểu 6 tháng một lần thực hiện rà soát, thống thông tin có xử lý thông tin cá nhân
cập nhật danh sách, phương án ứng cứu sự của khách hàng; tối thiểu 6 tháng một lần
cố. thực hiện rà soát, cập nhật danh sách,
phương án ứng cứu sự cố.
2. Lập tức báo cáo đến cấp có thẩm quyền 2. Báo cáo ngay đến cấp có thẩm quyền và
và những người có liên quan khi phát sinh những người có liên quan khi phát sinh sự cố
sự cố an toàn thông tin để có biện pháp an toàn thông tin để có biện pháp khắc phục
khắc phục trong thời gian sớm nhất. trong thời gian sớm nhất.
3. Trong quá trình kiểm tra, xử lý, khắc 3. Trong quá trình kiểm tra, xử lý, khắc phục
phục sự cố thu thập, ghi chép, bảo vệ sự cố thu thập, ghi chép, bảo vệ chứng cứ và
chứng cứ và lưu trữ tại tổ chức. lưu trữ tại tổ chức.
4. Đánh giá xác định nguyên nhân và thực 4. Đánh giá xác định nguyên nhân và thực
hiện các biện pháp phòng ngừa tránh sự hiện các biện pháp phòng ngừa tránh sự cố
cố tái diễn sau khi khắc phục sự cố. tái diễn sau khi khắc phục sự cố.
5. Trong trường hợp sự cố an toàn thông 5. Trong trường hợp sự cố an toàn thông tin
tin có liên quan đến các vi phạm pháp có liên quan đến các vi phạm pháp luật, tổ
luật, tổ chức có trách nhiệm thu thập và chức có trách nhiệm thu thập và cung cấp
cung cấp chứng cứ cho cơ quan có thẩm chứng cứ cho cơ quan có thẩm quyền đúng
quyền đúng theo quy định của pháp luật. theo quy định của pháp luật.
N/A 6. Định kỳ hàng năm tổ chức diễn tập Thời hạn tổ chức
phương án xử lý sự cố bảo đảm an toàn diễn tập phương án
thông tin cho tối thiểu một trong các hệ xử lý sự cố bảo đảm
thống thông tin từ cấp độ 3 trở lên và thực an toàn thông tin.
hiện luân phiên nếu có từ 02 hệ thống thông
tin từ cấp độ 3 trở lên.
Điều 46. Trung tâm Điều hành an ninh Điều 47. Trung tâm Điều hành an ninh
mạng mạng
Trung tâm Điều hành an ninh mạng thực
hiện các nhiệm vụ sau:
1. Tổ chức quản lý trực tiếp hệ thống thông
tin từ cấp độ 3 trở lên phải thành lập hoặc chỉ
định bộ phận chuyên trách để quản lý vận
hành Trung tâm Điều hành an ninh mạng
(không áp dụng với chi nhánh ngân hàng
nước ngoài, tổ chức cung ứng dịch vụ trung
gian thanh toán, tổ chức tín dụng phi ngân
hàng, tổ chức tài chính vi mô, quỹ tín dụng
nhân dân cơ sở, công ty thông tin tín dụng,
Công ty Quản lý tài sản của các tổ chức tín
dụng Việt Nam, Nhà máy in tiền quốc gia).
2. Trung tâm Điều hành an ninh mạng thực
hiện các nhiệm vụ sau:
1. Chủ động theo dõi, thu thập, tiếp nhận a) Chủ động theo dõi, thu thập, tiếp nhận các
các thông tin, cảnh báo về các nguy cơ, thông tin, cảnh báo về các nguy cơ, rủi ro an
rủi ro an toàn thông tin từ bên trong và toàn thông tin từ bên trong và bên ngoài.
bên ngoài.
2. Xây dựng hệ thống quản lý và phân tích b) Xây dựng hệ thống quản lý và phân tích Thay đổi các hệ
sự kiện an toàn thông tin (SIEM), thực sự kiện an toàn thông tin (SIEM), thực hiện thống thông tin áp
hiện thu thập và lưu trữ tập trung tối thiểu thu thập và lưu trữ tập trung tối thiểu các dụng.
các thông tin: nhật ký của các hệ thống thông tin: nhật ký của các hệ thống thông tin
thông tin từ mức độ 2 trở lên; cảnh báo, từ cấp độ 3 trở lên và các hệ thống thông tin
nhật ký của trang thiết bị an ninh mạng có xử lý thông tin cá nhân của khách hàng;
(tường lửa, IPS/IDS). cảnh báo, nhật ký của trang thiết bị an ninh
mạng (tường lửa, 4 IPS/IDS).
3. Phân tích thông tin để phát hiện và c) Phân tích thông tin để phát hiện và cảnh Thay đổi các hệ
cảnh báo về các rủi ro và các nguy cơ tấn báo về các rủi ro và các nguy cơ tấn công thống thông tin áp
công mạng, sự cố an ninh mạng và phải mạng, sự cố an toàn thông tin và phải gửi dụng.
gửi cảnh báo đến người quản trị hệ thống cảnh báo đến người quản trị hệ thống khi
khi phát hiện sự cố liên quan đến các hệ phát hiện sự cố liên quan đến các hệ thống
thống: (i) Hệ thống thông tin phục vụ thông tin từ cấp độ 3 trở lên và các hệ
khách hàng yêu cầu hoạt động 24/7; (ii) thống thông tin có xử lý thông tin cá nhân
Hệ thống cung cấp giao dịch trực tuyến; của khách hàng.
(iii) Hệ thống thông tin mức độ 3.
4. Tổ chức Điều phối ứng cứu sự cố và d) Tổ chức điều phối ứng cứu sự cố và
khoanh vùng, ngăn chặn, giảm thiểu tác khoanh vùng, ngăn chặn, giảm thiểu tác
động, thiệt hại đến hệ thống thông tin khi động, thiệt hại đến hệ thống thông tin khi sự
sự cố phát sinh. cố phát sinh.
5. Điều tra, xác định nguồn gốc, cách đ) Điều tra, xác định nguồn gốc, cách thức,
thức, phương pháp tấn công và thực hiện phương pháp tấn công và thực hiện các biện
các biện pháp phòng ngừa tránh sự số tái pháp phòng ngừa tránh sự cố tái diễn.
diễn.
6. Cung cấp thông tin theo yêu cầu của e) Cung cấp thông tin theo yêu cầu của Ngân
Ngân hàng Nhà nước để phục vụ giám sát hàng Nhà nước để phục vụ giám sát an ninh
an ninh mạng ngành Ngân hàng. mạng ngành Ngân hàng.
Điều 47. Hoạt động ứng cứu sự cố an Điều 48. Hoạt động ứng cứu sự cố an toàn
ninh mạng thông tin
1. Mạng lưới ứng cứu sự cố an ninh mạng 2. Mạng lưới có nhiệm vụ phối hợp các Cụm từ “sự cố an
trong ngành Ngân hàng (Mạng lưới) có nguồn lực trong và ngoài ngành ứng phó hiệu toàn thông tin” thay
nhiệm vụ phối hợp các nguồn lực trong và quả sự cố an toàn thông tin, góp phần bảo thể cho cụm từ “sự
ngoài ngành ứng phó hiệu quả sự cố an đảm hệ thống ngân hàng hoạt động an toàn. cố an ninh mạng”.
ninh mạng, góp phần bảo đảm hệ thống
ngân hàng hoạt động an toàn.
2. Mạng lưới bao gồm: 1. Mạng lưới ứng cứu sự cố an toàn thông tin
trong ngành Ngân hàng (mạng lưới) bao
gồm:
a) Ban Điều hành mạng lưới do Thống a) Ban điều hành mạng lưới do Thống đốc
đốc Ngân hàng Nhà nước thành lập; Ngân hàng Nhà nước thành lập;
b) Cơ quan Điều phối là Cục Công nghệ b) Cơ quan điều phối là Cục Công nghệ
thông tin (Ngân hàng Nhà nước); thông tin (Ngân hàng Nhà nước);
c) Các thành viên mạng lưới: Cục Công c) Các thành viên mạng lưới: Cục Công nghệ
nghệ thông tin (Ngân hàng Nhà nước), tổ thông tin (Ngân hàng Nhà nước), tổ chức tín
chức tín dụng (bộ phận chuyên trách an dụng (bộ phận chuyên trách an toàn thông
toàn thông tin) và thành viên tự nguyện tin) và thành viên tự nguyện tham gia mạng
tham gia mạng lưới là các cơ quan, tổ lưới là các cơ quan, tổ chức tự nguyện tham
chức tự nguyện tham gia. gia.
3. Nguyên tắc trong hoạt động Điều 3. Nguyên tắc trong hoạt động điều phối
phối và ứng cứu sự cố và ứng cứu sự cố
a) Ban điều hành mạng lưới có nhiệm Bổ sung thêm
vụ: (i) Phê duyệt chiến lược và kế nguyên tắc trong
hoạch hoạt động hàng năm của mạng hoạt động điều phối
lưới; (ii) Điều hành hoạt động mạng và ứng cứu sự cố
lưới (ứng cứu sự cố, diễn tập và đào
tạo, tập huấn ứng cứu sự cố); (iii)
Đánh giá kết quả hoạt động của mạng
lưới, báo cáo Thống đốc Ngân hàng
Nhà nước hàng năm;
a) Các tổ chức theo quy định tại điểm c b) Các tổ chức theo quy định tại điểm c
Khoản 2 Điều này phải có trách nhiệm khoản 2 Điều này phải có trách nhiệm
cung cấp nguồn lực và tham gia làm cung cấp nguồn lực và tham gia làm
thành viên mạng lưới; thành viên mạng lưới;
b) Khi gặp sự cố an ninh mạng, các c) Khi gặp sự cố an toàn thông tin, các
thành viên phải báo cáo Cơ quan Điều thành viên phải báo cáo Cơ quan điều
phối theo quy định tại Khoản 1 Điều phối theo quy định tại khoản 1 Điều 54
53 Thông tư này; Thông tư này;
c) Khi gặp sự cố nghiêm trọng không d) Khi gặp sự cố nghiêm trọng không tự
tự khắc phục được, các thành viên phải khắc phục được, các thành viên phải gửi
gửi yêu cầu hỗ trợ đến Cơ quan Điều yêu cầu hỗ trợ đến Cơ quan điều phối;
phối;
d) Căn cứ vào từng sự cố, Cơ quan đ) Căn cứ vào từng sự cố, Cơ quan điều Bổ sung trách
Điều phối sẽ đề nghị các thành viên phối sẽ báo cáo Ban điều hành mạng nhiệm khi gặp sự
mạng lưới hỗ trợ hoặc các cơ quan nhà lưới và đề nghị các thành viên mạng lưới cố.
nước có thẩm quyền hỗ trợ, ứng cứu. hỗ trợ hoặc các cơ quan nhà nước có
thẩm quyền hỗ trợ, ứng cứu.
4. Nguyên tắc quản lý, sử dụng thông 4. Nguyên tắc quản lý, sử dụng thông tin
tin trong hoạt động Điều phối và ứng trong hoạt động điều phối và ứng cứu sự
cứu sự cố: cố:
a) Thông tin được trao đổi, cung cấp a) Thông tin được trao đổi, cung cấp
trong quá trình Điều phối và ứng cứu trong quá trình điều phối và ứng cứu sự
sự cố là thông tin bí mật; cố là thông tin bí mật;
b) Nghiêm cấm tổ chức, cá nhân sử b) Nghiêm cấm tổ chức, cá nhân sử dụng
dụng thông tin trao đổi trong quá trình thông tin trao đổi trong quá trình điều
Điều phối và ứng cứu sự cố để làm ảnh phối và ứng cứu sự cố để làm ảnh hưởng
hưởng đến uy tín, hình ảnh của tổ chức đến uy tín, hình ảnh của tổ chức cung cấp
cung cấp thông tin. thông tin.
Mục 9. BẢO ĐẢM HOẠT ĐỘNG Mục 9. BẢO ĐẢM HOẠT ĐỘNG
LIÊN TỤC CỦA HỆ THỐNG LIÊN TỤC CỦA HỆ THỐNG
THÔNG TIN THÔNG TIN
Điều 48. Nguyên tắc bảo đảm hoạt Điều 49. Nguyên tắc bảo đảm hoạt
động liên tục động liên tục
1. Tổ chức thực hiện các yêu cầu tối 1. Tổ chức thực hiện các yêu cầu tối thiểu
thiểu sau: sau:
a) Phân tích tác động và đánh giá rủi a) Phân tích tác động và đánh giá rủi ro
ro đối với việc gián đoạn hoặc ngừng đối với việc gián đoạn hoặc ngừng hoạt
hoạt động của hệ thống thông tin; động của hệ thống thông tin;
b) Xây dựng quy trình và kịch bản bảo b) Xây dựng quy trình và kịch bản bảo
đảm hoạt động liên tục hệ thống thông đảm hoạt động liên tục hệ thống thông tin
tin theo quy định tại Điều 50 Thông tư theo quy định tại Điều 51 Thông tư này;
này;
c) Tổ chức triển khai bảo đảm hoạt c) Tổ chức triển khai bảo đảm hoạt động
động liên tục theo quy định tại Điều 51 liên tục theo quy định tại Điều 52 Thông
Thông tư này. tư này.
2. Trên cơ sở phân tích tác động và 2. Trên cơ sở phân tích tác động và đánh Thay đổi đối tượng
đánh giá rủi ro tại điểm a Khoản 1 giá rủi ro tại điểm a khoản 1 Điều này, tổ cần đảm bảo hoạt
Điều này, tổ chức lập danh sách các hệ chức lập danh sách các hệ thống thông tin động liên tục tối
thống thông tin cần bảo đảm hoạt động cần bảo đảm hoạt động liên tục tối thiểu thiểu
liên tục tối thiểu bao gồm: bao gồm các hệ thống thông tin từ cấp
độ 3 trở lên.
a) Hệ thống thông tin phục vụ hoạt
động nội bộ hàng ngày của tổ chức và
không chấp nhận ngừng vận hành quá
4 giờ làm việc;
b) Hệ thống phục vụ khách hàng yêu
cầu hoạt động 24/7;
c) Hệ thống cung cấp giao dịch trực
tuyến cho khách hàng;
d) Hệ thống thông tin mức độ 3.
3. Các hệ thống cần bảo đảm hoạt 3. Các hệ thống cần bảo đảm hoạt động
động liên tục tại Khoản 2 Điều này liên tục tại khoản 2 Điều này phải bảo
phải bảo đảm tính sẵn sàng cao và có đảm tính sẵn sàng cao và có hệ thống dự
hệ thống dự phòng thảm họa. phòng thảm họa.
Điều 49. Xây dựng hệ thống dự Điều 50. Xây dựng hệ thống dự phòng
phòng thảm họa thảm họa
1. Tổ chức xây dựng hệ thống dự 1. Tổ chức xây dựng hệ thống dự phòng
phòng thảm họa đáp ứng các yêu cầu thảm họa đáp ứng các yêu cầu sau:
sau:
a) Đánh giá rủi ro và xem xét khả năng a) Đánh giá rủi ro và xem xét khả năng
xảy ra các thảm họa ảnh hưởng đồng xảy ra các thảm họa ảnh hưởng đồng thời
thời tới cả hệ thống thông tin chính và tới cả hệ thống thông tin chính và hệ
hệ thống thông tin dự phòng thảm họa thống thông tin dự phòng thảm họa khi
khi lựa chọn địa điểm đặt hệ thống dự lựa chọn địa điểm đặt hệ thống dự phòng
phòng thảm họa như: thảm họa tự thảm họa: thảm họa tự nhiên như động
nhiên như động đất, lũ lụt, bão, đại đất, lũ lụt, bão, đại dịch; thảm họa do yếu
dịch; thảm họa do yếu tố con người và tố con người và công nghệ như các sự cố
công nghệ như các sự cố về mạng lưới về mạng lưới điện, hỏa hoạn, giao thông,
điện, hỏa hoạn, giao thông, tấn công an tấn công an ninh mạng;
ninh mạng;
b) Địa điểm đặt hệ thống dự phòng b) Địa điểm đặt hệ thống dự phòng phải
phải đáp ứng các yêu cầu quy định tại đáp ứng các yêu cầu quy định tại Điều 17
Điều 16 Thông tư này; Thông tư này;
c) Hệ thống dự phòng phải bảo đảm c) Hệ thống dự phòng phải bảo đảm khả Thay đổi yêu cầu
khả năng thay thế hệ thống chính trong năng thay thế hệ thống chính trong thời gian hệ thống
Khoảng thời gian: (i) 4 giờ đồng hồ khoảng thời gian: (i) 4 giờ đối với các hệ dự phòng thay thế
đối với: hệ thống thông tin phục vụ thống thông tin từ cấp độ 3 trở lên hệ thống chính.
hoạt động nội bộ hàng ngày của tổ (ngoại trừ các hệ thống thông tin xử lý
chức và không chấp nhận ngừng vận thông tin bí mật nhà nước); (ii) 24 giờ
hành quá 4 giờ làm việc, hệ thống đối với các hệ thống thông tin xử lý
phục vụ khách hàng yêu cầu hoạt động thông tin bí mật nhà nước; (iii) Theo
24/7, hệ thống cung cấp giao dịch trực thời gian quy định của tổ chức đối với
tuyến cho khách hàng, hệ thống thông các hệ thống khác.
tin mức độ 3; (ii) 24 giờ đồng hồ đối
với các hệ thống khác.
2. Các tổ chức chỉ có một trụ sở làm 2. Các tổ chức chỉ có một trụ sở làm việc Thay đổi đối tượng
việc tại Việt Nam phải có văn phòng tại Việt Nam (trừ tổ chức tài chính vi áp dụng.
dự phòng tại một địa điểm khác tách mô, quỹ tín dụng nhân dân cơ sở) phải
biệt trụ sở làm việc và có trang thiết bị có văn phòng dự phòng tại một địa điểm
để bảo đảm hoạt động liên tục thay thế khác tách biệt trụ sở làm việc và có trang
trụ sở làm việc. thiết bị để bảo đảm hoạt động liên tục
thay thế trụ sở làm việc.
Điều 50. Xây dựng quy trình, kịch Điều 51. Xây dựng quy trình, kịch bản
bản bảo đảm hoạt động liên tục bảo đảm hoạt động liên tục
Tổ chức xây dựng quy trình, kịch bản Tổ chức xây dựng quy trình, kịch bản bảo
bảo đảm hoạt động liên tục như sau: đảm hoạt động liên tục như sau:
1. Xây dựng quy trình xử lý các tình 1. Xây dựng quy trình xử lý các tình Thay đổi đối tượng
huống mất an toàn, gián đoạn hoạt huống mất an toàn, gián đoạn hoạt động áp dụng.
động của từng cấu phần trong hệ thống của từng cấu phần trong hệ thống thông
thông tin từ mức độ 2 trở lên. tin từ cấp độ 3 trở lên.
N/A 2. Đối với các tổ chức có cả hệ thống Quy định đối với tổ
thông tin chính và dự phòng đặt ngoài chức đặt hệ thống
lãnh thổ Việt Nam phải xây dựng thông tin chính và
phương án bảo đảm hoạt động liên tục dự phòng ngoài
lãnh thổ Việt Nam.
trong trường hợp bị gián đoạn đường
truyền kết nối với các hệ thống thông
tin chính và dự phòng.
2. Xây dựng kịch bản chuyển đổi hệ 3. Xây dựng kịch bản chuyển đổi hệ
thống dự phòng thay thế cho hoạt động thống dự phòng thay thế cho hoạt động
của hệ thống chính, bao gồm nội dung của hệ thống chính, bao gồm nội dung
công việc, trình tự thực hiện, dự kiến công việc, trình tự thực hiện, dự kiến thời
thời gian hoàn thành đáp ứng các nội gian hoàn thành đáp ứng các nội dung
dung sau: sau:
a) Có các nguồn lực, phương tiện và a) Có các nguồn lực, phương tiện và các
các yêu cầu cần thiết để thực hiện; yêu cầu cần thiết để thực hiện;
b) Có các mẫu biểu ghi nhận kết quả; b) Có các mẫu biểu ghi nhận kết quả;
c) Bố trí và phân công trách nhiệm cho c) Bố trí và phân công trách nhiệm cho
nhân sự tham gia với các vai trò: chỉ nhân sự tham gia với các vai trò: chỉ đạo
đạo thực hiện, giám sát, thực hiện thực hiện, giám sát, thực hiện chuyển đổi,
chuyển đổi, vận hành chính thức và vận hành chính thức và kiểm tra kết quả;
kiểm tra kết quả;
d) Áp dụng biện pháp bảo đảm an toàn d) Áp dụng biện pháp bảo đảm an toàn
thông tin; thông tin;
đ) Có phương án bảo đảm hoạt động đ) Có phương án bảo đảm hoạt động liên
liên tục khi việc chuyển đổi không tục khi việc chuyển đổi không thành
thành công. công.
3. Các tổ chức chỉ có một trụ sở làm 4. Các tổ chức chỉ có một trụ sở làm việc Thay đối tượng áp
việc tại Việt Nam phải xây dựng kịch tại Việt Nam (trừ tổ chức tài chính vi dụng
bản chuyển đổi hoạt động sang văn mô, quỹ tín dụng nhân dân cơ sở) phải
phòng dự phòng. xây dựng kịch bản chuyển đổi hoạt động
sang văn phòng dự phòng.
4. Quy trình, kịch bản chuyển đổi phải 5. Quy trình, kịch bản chuyển đổi phải
được kiểm tra và cập nhật khi có sự được kiểm tra và cập nhật khi có sự thay
thay đổi của hệ thống thông tin, cơ cấu đổi của hệ thống thông tin, cơ cấu tổ
tổ chức, nhân sự và phân công trách chức, nhân sự và phân công trách nhiệm
nhiệm của các bộ phận có liên quan của các bộ phận có liên quan trong tổ
trong tổ chức. chức.
Điều 51. Tổ chức triển khai bảo đảm Điều 52. Tổ chức triển khai bảo đảm
hoạt động liên tục hoạt động liên tục
1. Tổ chức phải có kế hoạch và tổ chức 1. Tổ chức phải có kế hoạch và tổ chức Thay đổi đối tượng
triển khai bảo đảm hoạt động liên tục triển khai bảo đảm hoạt động liên tục hệ áp dụng.
hệ thống thông tin theo các yêu cầu thống thông tin (ngoại trừ các hệ thống
sau: thông tin chính và dự phòng hoạt động
song song) theo các yêu cầu sau:
a) Tối thiểu sáu tháng một lần, tiến a) Tối thiểu sáu tháng một lần, tiến hành
hành kiểm tra, đánh giá hoạt động của kiểm tra, đánh giá hoạt động của hệ thống
hệ thống dự phòng; dự phòng;
b) Định kỳ hàng năm, thực hiện b) Thực hiện chuyển hoạt động từ hệ Thay đổi thời gian
chuyển hoạt động chính thức từ hệ thống chính sang hệ thống dự phòng và thực hiện chuyển
thống chính sang hệ thống dự phòng hoạt động chính thức trên hệ thống dự hoạt động từ hệ
tối thiểu 1 ngày làm việc của từng hệ phòng tối thiểu 1 ngày làm việc của từng thống chính sang hệ
thống dự phòng và
thống thông tin theo danh sách tại hệ thống thông tin theo danh sách tại
hoạt động chính
Khoản 2 Điều 48 Thông tư này; đánh khoản 2 Điều 49 Thông tư này, một năm
thức trên hệ thống
giá kết quả và cập nhật các quy trình, một lần đối với hệ thống thông tin từ dự phòng.
kịch bản chuyển đổi (nếu có). cấp độ 4 trở lên, hai năm một lần đối
với hệ thống thông tin từ cấp độ 3 trở
xuống; đánh giá kết quả và cập nhật các
quy trình, kịch bản chuyển đổi (nếu có).
Trường hợp không thể chuyển đổi
hoạt động trong ngày làm việc, hệ
thống dự phòng phải được thiết lập có
cùng công suất, cấu hình với hệ thống
chính và định kỳ hàng năm thực hiện
chuyển đổi, kiểm tra tính sẵn sàng của
hệ thống dự phòng.
2. Các tổ chức chỉ có một trụ sở làm 2. Các tổ chức chỉ có một trụ sở làm việc Thay đổi đối tượng
việc tại Việt Nam phải tổ chức thực tại Việt Nam (trừ tổ chức tài chính vi áp dụng.
hiện diễn tập bảo đảm hoạt động liên mô, quỹ tín dụng nhân dân cơ sở) phải
tục định kỳ hàng năm. tổ chức thực hiện diễn tập bảo đảm hoạt
động liên tục định kỳ hàng năm.
3. Thông báo kế hoạch diễn tập chuyển 3. Tổ chức phải thông báo kế hoạch, nội Bổ sung đối tượng
đổi hoạt động liên tục cho Ngân hàng dung và kịch bản diễn tập chuyển đổi phải thông báo cho
Nhà nước (Cục Công nghệ thông tin) hoạt động liên tục cho Ngân hàng Nhà Ngân hàng Nhà
chậm nhất là 5 ngày làm việc trước khi nước (Cục Công nghệ thông tin) chậm nước và địa chỉ thư
điện tử thông báo.
thực hiện. nhất là 5 ngày làm việc trước khi thực
hiện qua địa chỉ thư điện tử
Mục 10. KIỂM TRA NỘI BỘ VÀ antt@sbv.gov.vn.
Mục 10. KIỂM TRA NỘI BỘ VÀ CHẾ
CHẾ ĐỘ BÁO CÁO ĐỘ BÁO CÁO
Điều 52. Kiểm tra nội bộ Điều 53. Kiểm tra nội bộ
Tổ chức thực hiện kiểm tra nội bộ như Tổ chức thực hiện kiểm tra nội bộ như
sau: sau:
1. Xây dựng quy định kiểm tra nội bộ 1. Xây dựng quy định kiểm tra nội bộ về
về công tác bảo đảm an toàn thông tin công tác bảo đảm an toàn thông tin của tổ
của tổ chức. chức.
2. Xây dựng kế hoạch và thực hiện 2. Hàng năm, xây dựng kế hoạch và thực Thời gian xây dựng
công tác tự kiểm tra việc tuân thủ các hiện công tác tự kiểm tra việc tuân thủ kế hoạch và thực
quy định tại Thông tư này và các quy các quy định tại Thông tư này và các quy hiện công tác tự
định nội bộ của tổ chức về bảo đảm an định nội bộ của tổ chức về bảo đảm an kiểm tra của tổ
chức.
toàn thông tin tối thiểu mỗi năm một toàn thông tin. Đối với các ngân hàng
Trách nhiệm kiểm
lần. thương mại, chi nhánh ngân hàng
tra nội bộ đối với
nước ngoài, việc kiểm tra nội bộ do bộ các ngân hàng
phận quản lý rủi ro hoặc bộ phận tuân thương mại, chi
thủ thực hiện tối thiểu một năm một nhánh ngân hàng
lần và do bộ phận kiểm toán nội bộ nước ngoài.
hoặc tổ chức kiểm toán độc lập thực
hiện tối thiểu ba năm một lần.
3. Kết quả kiểm tra về công tác bảo 3. Kết quả kiểm tra về công tác bảo đảm
đảm an toàn thông tin của tổ chức phải an toàn thông tin của tổ chức phải được
được lập thành báo cáo gửi người đại lập thành báo cáo gửi người đại diện theo
diện theo pháp luật và cấp có thẩm pháp luật và cấp có thẩm quyền, trong đó
quyền, trong đó các vấn đề còn tồn tại các vấn đề còn tồn tại chưa bảo đảm tuân
chưa bảo đảm tuân thủ các quy định về thủ các quy định về an toàn thông tin
an toàn thông tin (nếu có) phải có (nếu có) phải có phương án xử lý, kế
phương án xử lý, kế hoạch thực hiện. hoạch thực hiện.
4. Tổ chức thực hiện và báo cáo kết 4. Tổ chức thực hiện và báo cáo kết quả
quả khắc phục các tồn tại nêu trong khắc phục các tồn tại nêu trong báo cáo
báo cáo theo quy định tại Khoản 3 theo quy định tại khoản 3 Điều này.
Điều này.
Điều 53. Chế độ báo cáo Điều 54. Chế độ báo cáo
Tổ chức có trách nhiệm gửi báo cáo về Tổ chức có trách nhiệm gửi báo cáo về
Ngân hàng Nhà nước (Cục Công nghệ Ngân hàng Nhà nước (Cục Công nghệ
thông tin) các nội dung sau: thông tin) các nội dung sau:
1. Báo cáo sự cố an ninh mạng trong 1. Báo cáo sự cố an toàn thông tin (theo Bổ sung trách
vòng 24 giờ kể từ thời điểm sự cố Phụ lục 01 kèm theo Thông tư này) trong nhiệm Báo cáo
được phát hiện và 05 ngày làm việc vòng 24 giờ kể từ thời điểm sự cố được hoàn thành khắc
sau khi hoàn thành khắc phục sự cố phát hiện và Báo cáo hoàn thành khắc phục sự cố và thay
đổi mẫu báo cáo.
theo Phụ lục kèm theo Thông tư này phục sự cố (theo Phụ lục 02 kèm theo
về địa chỉ thư điện tử Thông tư này) trong vòng 05 ngày làm
antt@sbv.gov.vn. việc sau khi hoàn thành khắc phục sự cố.
Báo cáo gửi về địa chỉ thư điện tử
antt@sbv.gov.vn.
2. Báo cáo đánh giá rủi ro theo quy 2. Báo cáo đánh giá rủi ro theo quy định Thay đối tượng áp
định tại Khoản 3 Điều 32 Thông tư tại khoản 3 Điều 33 Thông tư này gửi dụng
này trực tiếp hoặc qua đường bưu điện trực tiếp hoặc qua đường bưu điện về
về Ngân hàng Nhà nước (Cục Công Ngân hàng Nhà nước (Cục Công nghệ
nghệ thông tin, 64 Nguyễn Chí Thanh, thông tin) khi thuê ngoài toàn bộ công
Hà Nội) khi thuê ngoài toàn bộ công việc quản trị hệ thống thông tin từ cấp độ
việc quản trị hệ thống thông tin từ mức 3 trở lên và các hệ thống thông tin xử
độ 2 trở lên trước thời điểm triển khai lý thông tin khách hàng trước thời điểm
tối thiểu 10 ngày làm việc. triển khai tối thiểu 10 ngày làm việc.
N/A 3. Báo cáo các trường hợp cá nhân làm Báo cáo trường hợp
việc trong lĩnh vực công nghệ thông tin nhân viên trong lĩnh
của tổ chức bị kỷ luật theo quy định tại vực CNTT của tổ
khoản 6 Điều 16 Thông tư này gửi trực chức bị kỷ luật
tiếp hoặc qua đường bưu điện về Ngân
hàng Nhà nước (Cục Công nghệ thông
tin) trong vòng 5 ngày làm việc kể từ thời
điểm có quyết định kỷ luật.
Chương III Chương III
ĐIỀU KHOẢN THI HÀNH ĐIỀU KHOẢN THI HÀNH
Điều 54. Trách nhiệm của các đơn vị Điều 55. Trách nhiệm của các đơn vị
thuộc Ngân hàng Nhà nước thuộc Ngân hàng Nhà nước
1. Cục Công nghệ thông tin có trách 1. Cục Công nghệ thông tin có trách
nhiệm: nhiệm:
a) Theo dõi, tổng hợp báo cáo Thống a) Theo dõi, tổng hợp báo cáo Thống đốc
đốc Ngân hàng Nhà nước tình hình Ngân hàng Nhà nước hàng năm tình hình
thực hiện của các tổ chức theo quy thực hiện của các tổ chức theo quy định
định tại Thông tư này; tại Thông tư này;
b) Hàng năm lập kế hoạch kiểm tra b) Hàng năm lập kế hoạch kiểm tra việc
việc thực hiện Thông tư này; thực hiện Thông tư này;
c) Chủ trì, phối hợp với các đơn vị liên c) Chủ trì, phối hợp với các đơn vị liên
quan thuộc Ngân hàng Nhà nước xử lý quan thuộc Ngân hàng Nhà nước xử lý
các vướng mắc phát sinh trong quá các vướng mắc phát sinh trong quá trình
trình triển khai thực hiện Thông tư triển khai thực hiện Thông tư này.
2. Cơ quan Thanh tra, giám sát ngân
này. 2. Vụ Thanh toán có trách nhiệm phối Thay đổi cơ quan
hàng có trách nhiệm phối hợp với Cục hợp với Cục Công nghệ thông tin kiểm có trách nhiệm phối
Công nghệ thông tin kiểm tra việc thực tra việc thực hiện Thông tư này tại các tổ hợp với Cục CNTT
hiện Thông tư này tại các tổ chức và chức cung ứng dịch vụ trung gian kiểm tra thực hiện
TT
xử lý vi phạm hành chính đối với hành thanh toán.
vi vi phạm theo quy định của pháp
luật.
N/A 3. Cơ quan Thanh tra, giám sát ngân hàng Quy định trách
có trách nhiệm thanh tra việc thực hiện nhiệm của Cơ quan
Thông tư này tại các tổ chức và xử lý vi Thanh tra.
phạm hành chính đối với hành vi vi phạm
Thông tư này theo quy định của pháp
N/A luật.
4. Ngân hàng Nhà nước chi nhánh tỉnh, Quy định trách
thành phố có trách nhiệm thanh tra việc nhiệm của Ngân
thực hiện Thông tư này tại các tổ chức hàng nhà nước chi
trên địa bàn và xử lý vi phạm hành chính nhánh tỉnh, thành
phố.
đối với hành vi vi phạm Thông tư này
theo quy định của pháp luật.
Điều 55. Hiệu lực thi hành và tổ Điều 56. Hiệu lực thi hành
chức thực hiện
1. Thông tư này có hiệu lực thi hành 1. Thông tư này có hiệu lực thi hành kể từ
kể từ ngày 01 tháng 01 năm 2019 trừ ngày 01 tháng 01 năm 2021 trừ trường
trường hợp quy định tại Khoản 2 Điều hợp quy định tại khoản 2 Điều này và
này và thay thế Thông tư 31/2015/TT- thay thế Thông tư 18/2018/TT-NHNN
NHNN ngày 28 tháng 12 năm 2015 ngày 21 tháng 08 năm 2018 của Thống
của Thống đốc Ngân hàng Nhà nước đốc Ngân hàng Nhà nước ban hành Quy
ban hành Quy định về đảm bảo an định về an toàn hệ thống thông tin trong
toàn, bảo mật hệ thống công nghệ hoạt động ngân hàng.
thông tin trong hoạt động ngân hàng
và Quyết định 29/2008/QĐ-NHNN
ngày 13 tháng 10 năm 2008 của Thống
đốc Ngân hàng Nhà nước về việc ban
hành Quy định về bảo trì hệ thống
trang thiết bị tin học trong ngành Ngân
hàng.
2. Điểm b Khoản 2 Điều 12 có hiệu 2. Điểm b khoản 4 Điều 20 có hiệu lực
lực thi hành kể từ ngày 01 tháng 01 thi hành kể từ ngày 01 tháng 01 năm
năm 2020. 2022.
Điều 57. Tổ chức thực hiện
3. Cục trưởng Cục Công nghệ thông Cục trưởng Cục Công nghệ thông tin, TT 09 bổ sung thêm
tin, Thủ trưởng các đơn vị liên quan Thủ trưởng các đơn vị liên quan thuộc các tổ chức có trách
thuộc Ngân hàng Nhà nước, Chủ tịch Ngân hàng Nhà nước, Giám đốc Ngân nhiệm thực hiện TT
Hội đồng quản trị, Hội đồng thành hàng Nhà nước chi nhánh tỉnh, thành 09.
viên, Tổng giám đốc (Giám đốc) các tổ phố trực thuộc Trung ương, các tổ
chức tín dụng, chi nhánh ngân hàng chức tín dụng, chi nhánh ngân hàng nước
nước ngoài, các tổ chức cung ứng dịch ngoài, các tổ chức cung ứng dịch vụ trung
vụ trung gian thanh toán có trách gian thanh toán, công ty thông tin tín
nhiệm tổ chức thực hiện Thông tư dụng, Công ty Cổ phần Thanh toán
này./. Quốc gia Việt Nam, Công ty Quản lý
tài sản của các tổ chức tín dụng Việt
Nam, Nhà máy in tiền quốc gia, Bảo
hiểm tiền gửi Việt Nam có trách nhiệm
tổ chức thực hiện Thông tư này./.

Comparison TT18&09

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Comparison TT18&09

Uploaded by

Copyright:

Available Formats

TT 18/2018/TT-NHNN TT 09/2020/TT-NHNN Summarise

Điều 2. Giải thích từ ngữ Điều 2. Giải thích từ ngữ

Điều 3. Nguyên tắc chung Điều 3. Nguyên tắc chung

Điều 5. Phân loại hệ thống thông tin

a) Hệ thống thông tin phục vụ hoạt động nội

đ) Quản lý truy cập; đ) Quản lý truy cập;

N/A 3. Dữ liệu sao lưu của các hệ thống thông tin

N/A 3. Có phương án giám sát, cảnh báo khi có

Điều 38. Quản lý mã hóa Điều 39. Quản lý mã hóa

đ) Kiểm tra cấu hình các thiết bị bảo mật, các

You might also like