Phieu Khao Sat Ung Dung CNTT Va Tuan Thu VBQPPL CNTT Nam 2022 - Final

PHIẾU KHẢO SÁT VỀ HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN VÀ
TUÂN THỦ VĂN BẢN QUY PHẠM PHÁP LUẬT VỀ CÔNG NGHỆ THÔNG TIN
Năm 2022
I THÔNG TIN CHUNG:

1 Tên tổ chức báo cáo: Chi tiết
Hội sở
Tổng số các chi nhánh, đơn vị trực thuộc Chi nhánh
2 Ghi chú: Ghi tổng số các chi nhánh, các đơn vị trực thuộc, các đơn vị
thành viên trên mọi địa bàn, kể cả ở nước ngoài. Đơn vị trực thuộc
Đơn vị thành viên
Tổng số cán bộ công nhân viên (CBCNV):
3 Ghi chú: Bao gồm tất cả CBCNV của trụ sở chính, các chi nhánh, các
đơn vị trực thuộc, các đơn vị thành viên không bao gồm: bảo vệ, lái
xe, tạp vụ v.v.
Tổng số khách hàng cá nhân
4 Tổng số khách hàng:
Tổng số khách hàng doanh nghiệp
ISO 27001: (Ghi năm đánh giá lại gần nhất hoặc năm cấp (nếu
chưa đánh giá lại))
PCI DSS: (Ghi năm đánh giá lại gần nhất hoặc năm cấp (nếu chưa
đánh giá lại))
Các chứng chỉ khác (nêu rõ tên chứng chỉ):
5 Chứng chỉ quốc tế về ATTT tổ chức đã đạt được:
1
2
3
4
5
· Họ và tên:
· Bộ phận công tác:
6 Thông tin về người lập báo cáo: · Chức vụ:
· Điện thoại liên lạc:
· E-mail:
1
G TIN VÀ
ÔNG TIN
Số lượng
1
1
1,536
166,596
0
0
0
0
2
II. DANH SÁCH CÁC HỆ THỐNG THÔNG TIN
Địa điểm lắp đặt, cài đặt và chế
Sao lưu CSDL của HTTT Đánh giá an ninh bảo mật
độ hoạt động
Số lần
Cấp độ TTDL chuyển hoạt
Trung Cloud Khác
(theo quy dự động từ hệ Dò quét Penetratio
tâm dữ (điện to Tape (nêu rõ Kiểm tra cấu
Chức năng cơ bản của định tại phòng Khác thống chính to Disk (ghi tần điểm yếu n Test
STT Tên hệ thống liệu toán (ghi tần phương hình
hệ thống Thông tư (TTDL (nêu rõ) (DC) sang suất) (ghi tần (ghi tần
09/2020/TT- (TTDL) đám suất) thức và (ghi tần suất)
DP) hệ thống dự suất) suất)
NHNN) (*) mây) tần suất)
(*) phòng (DR)
(**)
1 Flexcube Core banking 2 A-A A-S 1 Hàng ngày Hàng ngày 0 3 tháng 0
2 Cardlink Core Thẻ 3 A-A A-S 1 Hàng ngày Hàng ngày 6 tháng 3 tháng 6 tháng
3 D356/SBRS Hệ thống Kế toán 2 A-A A-S 1 Hàng ngày Hàng ngày 6 tháng Hàng tháng 6 tháng
Hệ thống khởi tạo
4 FLASH 2 A-A A-S 1 Hàng ngày Hàng ngày 6 tháng Hàng tháng 6 tháng
khoản vay
5 Cardweb Tra cứu thông tin thẻ 2 1 1 Hàng ngày 0 Hàng tháng 0
Trang web chính thức
6 Website 1 1 Hàng ngày 3 tháng Hàng tháng 3 tháng
của công ty
7 Zimbra Email nội bộ 1 1 Hàng tuần 6 tháng Hàng tháng 6 tháng
Quản lý users/ Lưu trữ
8 AD/Fileserver 2 A-A A-S Hàng ngày Hàng ngày 6 tháng Hàng tháng 6 tháng
files nội bộ
9 Auto-call Hệ thống tổng đài 2 A-A Hàng ngày Hàng tháng 6 tháng Hàng tháng 6 tháng
(*) Trường hợp chạy trên 1 cặp máy chủ thì ghi rõ chế độ hoạt động: Active-Active: ghi A-A, Active-Standby: ghi A-S. Trường hợp chạy đơn ghi 1
(**) Trường hợp hệ thống chạy Active-Active cả trên DC-DR thì ghi rõ là "Hoạt động Active-Active DC-DR"
3
Tỷ lệ tài khoản tích hợp 2 yếu tố
bảo mật
(2 FA)
Cập nhật bản vá lỗ Tài khoản

Tài
hổng Tài người dùng
khoản
(Tần suất cập nhật khoản đặc quyền (Ví
quản trị
bản vá lỗ hổng ở quản trị dụ phê duyệt
ứng
mức cao: CVSS v3 từ máy chủ lệnh thanh
dụng
7.0 trở lên) toán)
Khi được yêu cầu 0 0 0

Khi được yêu cầu 0 0

hợp chạy đơn ghi 1
4
III. TÌNH HÌNH HOẠT ĐỘNG CÔNG NGHỆ THÔNG TIN
STT Nội dung khảo sát Số liệu Ghi chú
1 Nhân lực công nghệ thông tin
Ghi rõ tên Khối/Trung tâm và số
1.1 Cơ cấu tổ chức bộ phận CNTT: BỘ PHẬN HỆ THỐNG VĂN PHÒNG
lượng các phòng ban trực thuộc
Cán bộ CNTT chuyên trách là cán bộ

kỹ thuật hoặc quản lý trực tiếp làm
các công việc liên quan đến quản lý,
vận hành hệ thống CNTT của tổ chức
1.2 Số lượng nhân sự chuyên trách về CNTT 19
(quản lý, đảm bảo kỹ thuật, phát
triển ứng dụng, vận hành website
v.v.). Không tính các cán bộ kiêm
nhiệm
Là cán bộ chuyên trách về CNTT của

tất cả các đơn vị trong tổ chức được
giao trách nhiệm chỉ làm các công
1.3 Số lượng nhân sự chuyên trách về ATTT: 0
việc liên quan đến an toàn thông tin
và KHÔNG kiêm nhiệm thêm các
công việc khác.
Số lượng nhân sự đạt chứng chỉ CNTT quốc

1.4 tế (không tính nhân sự chuyên trách ATTT) 0
(ví dụ: CCNA, CCNP, OCA, OCP...)
Số lượng nhân sự chuyên trách về ATTT đạt

1.5 các chứng chỉ an toàn thông tin quốc tế (ví 0
dụ: CEH, CISSP, CISM, GSEC…):
Tổng chi phí đầu tư cho CNTT (bao gồm: chi
1.6 phí đầu tư lần đầu, bảo trì, thuê dịch vụ CNTT, 106,908 Tính trong năm 2021
đào tạo….) (đơn vị tính: triệu VND)
Tổng chi phí đầu tư cho ATTT: (đơn vị tính:
1.7 873,8 Tính trong năm 2021
triệu VND)
Tổng chi phí cho đào tạo CNTT: (đơn vị tính: Tính trong năm 2021
1.8 0
triệu VND) Trong phạm vi toàn tổ chức
5
2 Hạ tầng kỹ thuật CNTT
2.1 Trung tâm dữ liệu và Trung tâm dữ liệu dự phòng thảm họa
2.1.1 Trung tâm dữ liệu (TTDL):
- Địa điểm đặt TTDL: Viettel IDC Bình Dương, CMC-SHTP
- Mức độ theo chuẩn TIA-942: Tier 3
- Số lượng tủ rack: 2
2.1.2 Trung tâm dữ liệu dự phòng thảm họa (TTDL
- Địa điểm đặt TTDLDP: CMC-Hà Nội

- Mức độ theo chuẩn TIA-942: Tier 3
- Số lượng tủ rack: 2
2.1.3 Bảo đảm hoạt động liên tục (BCP)
Số lần thực hiện diễn tập kế hoạch BCP tổng
thể toàn bộ hệ thống thông tin (chuyển đổi giữa 1
TTDL và TTDLDP)
2.2 Tổng số máy tính
2.2.1 Thông tin máy chủ
- Tổng số máy chủ: 75

- Số máy chủ vật lý (không bao gồm máy chủ
18
host chứa các máy chủ ảo hóa):
- Số máy chủ trên hệ thống ảo hoá: 57
- Số máy chủ vật lý thuê ngoài: 4
- Số máy chủ ảo hóa (cloud) thuê ngoài: 20
- Số máy chủ được cài đặt phần mềm phòng
36
chống mã độc:
<Tên giải pháp, Quản lý tập
- Giải pháp phòng chống mã độc cho máy chủ: Symantec Enpoind Protection
trung/phân tán>
6
- Số lượng máy chủ sử dụng hệ điều hành còn
100%
được hãng hỗ trợ cập nhật:
2.2.2 Thông tin máy trạm
- Tổng số máy trạm: 527
- Số máy trạm trang bị mới hoặc nâng cấp cấu
160
hình trong 3 năm gần đây:
- Số máy trạm được phép truy cập Internet: 0
- Số máy trạm được cài đặt phần mềm phòng

527
chống mã độc:
Giải pháp quản lý tập trung sử dụng phần mềm Sysmantec <Tên giải pháp, Quản lý tập
- Giải pháp phòng chống virus cho máy trạm:
Endpoint Protection Manager trung/phân tán>
- Số lượng máy trạm sử dụng hệ điều hành còn

100% Hệ điều hành Windows 8.1 trở lên.
được hãng hỗ trợ cập nhật:
- Số lượng máy trạm được thiết lập kiểm soát

100%
qua MS Active Directory:
- Hệ thống MS Active Directory có được thiết

lập các chính sách an ninh theo khuyến nghị Có https://docs.microsoft.com/en-us/windows-server/iden
của Hãng (Security Baseline): (Có/Không)
Kết nối Internet cung cấp dịch vụ Internet

2.3
Banking cho khách hàng (Mbps)
Băng thông sử dụng kết nối Internet cung cấp
2.3.1 dịch vụ Internet Banking cho khách hàng 100 Mbps
(Mbps):
Tính trong khung giờ hành chính (=
Tỷ lệ băng thông sử dụng trung bình kết nối
Mục 2.3.1 / (Tổng số KHDN+ Tổng
2.3.2 Internet cung cấp dịch vụ Internet Banking cho 50%
số KHCN sử dụng InternetBanking) x
khách hàng (%):
100%)
7
Kết nối Internet băng rộng cung cấp kết nối
2.4 Internet tập trung cho người dùng tại đơn vị
(Mbps)
Băng thông sử dụng kết nối Internet băng rộng
2.4.1 cung cấp kết nối Internet tập trung cho người 700Mbps
dùng tại đơn vị (Mbps):
Tỷ lệ băng thông sử dụng trung bình kết nối Tính trong khung giờ hành chính (=
2.4.2 Internet băng rộng cung cấp kết nối Internet tập 60% Mục 2.4.1/tổng số người
trung cho người dùng tại đơn vị (%): dùngx100%)
Kết nối tập trung hay phân tán?

Kết nối tập trung Thiết lập Whitelist hay Blacklist?
Thiết lập blaclist. Có chính sách riêng cho từng đối
2.4.3 Chính sách kết nối Internet:
Có chính sách riêng từng đối tượng tượng hay không?
Có chính sách cấm kết nối Internet đối với máy chủ, PC quản trị. Có chính sách cấm kết nối Internet
đối với máy chủ/máy PC quản trị?
Tính tổng băng thông của các kết nối

trực tiếp từ các chi nhánh/phòng
giao dịch/trung tâm vùng đến TTDL,
Tổng băng thông kết nối mạng diện rộng của
2.5 TTDLDP (Không tính các kết nối:
đơn vị (WAN) (Mbps):
giữa TTDL và TTDLDP, giữa phòng
giao dịch với chi nhánh, giữa chi
nhánh với Trung tâm vùng (nếu có).
2.6 Triển khai giải pháp an toàn dữ liệu
Tỷ lệ HTTT có CSDL được triển khai trên tủ

2.6.1 100%
đĩa SAN trên tổng số HTTT có CSDL(%):
Tỷ lệ HTTT có CSDL được triển khai tại

2.6.2 100%
TTDLDP trên tổng số HTTT có CSDL (%):
8
Tỷ lệ HTTT có CSDL được triển khai giải
2.6.3 pháp tường lửa CSDL (Database Firewall) so 0%
với tổng số HTTT có CSDL (%):
2.7 Giải pháp an toàn thông tin
Số lượng Tại Số lượng Tại % Chi nhánh

STT Tên giải pháp Hãng cung cấp
DC DR được trang bị
Fortigate Fortigate /
2.7.1 Tường lửa: Fortinet/Cisco
/ASA ASA
2.7.2 IPS/ IDS: Fortigate Fortigate Fortinet
2.7.3 Email Security: 0 0
2.7.4 Kiểm soát truy cập Internet: Fortigate Fortigate Fortinet
2.7.5 Kiểm soát truy cập nội bộ (NAC): 0 0
2.7.6 Tường lửa ứng dụng: Fortigate Fortigate Fortinet
2.7.7 Tường lửa cơ sở dữ liệu: Fortigate Fortigate Fortinet
2.7.8 Quản lý tài khoản đặc quyền: 0 0
2.7.9 Hệ thống lưu trữ log tập trung:
2.7.10 Hệ thống quản lý sự kiện an ninh (SIEM): 0 0
2.7.11 Hệ thống phân tích cảnh báo ATTT (SOC): 0 0
2.7.12 Phòng chống thất thoát dữ liệu (DLP) : 0 0
2.7.13 Phòng chống tấn công APT: 0 0
2.7.14 Phòng chống tấn công DDoS: 0 0
2.7.15 Endpoint Detection and Response (EDR): 0 0
9
2.7.16 Giải pháp khác: 0 0
2.8 Diễn tập ứng cứu sự cố an toàn thông tin

Số lượng kịch bản ứng cứu sự cố an toàn thông Thực hiện nội bộ, không tính các
2.8.1 0
tin: diện tập tham gia bên ngoài
Số lần diễn tập ứng cứu sự cố an toàn thông Thực hiện nội bộ, không tính các
2.8.2 0
tin, phạm vi, đối tượng tham gia diễn tập: diện tập tham gia bên ngoài
2.9 Kiểm toán/ kiểm tra nội bộ về CNTT Số lượng Nội dung chi tiết
Tổ chức có bộ phận kiểm toán nội bộ về CNTT Nội dung chi tiết nêu rõ các bộ phận
2.9.1 1 Bộ phận kiểm toán nội bộ
không? có trách nhiệm kiểm toán nội bộ
- Một đợt kiểm toán chuyên đề có thể

Kiểm toán toàn bộ các hoạt động của bộ phận hệ thực hiện tại nhiều đơn vị/chi nhánh.
2.9.2 Số đợt kiểm toán nội bộ về CNTT trong năm: 1
thống văn phòng - Nội dung chi tiết: nêu rõ phạm vi,
nội dung kiểm toán
Số đơn vị/chi nhánh được kiểm toán nội bộ

2.9.3 1
CNTT trong năm:
Nội dung chi tiết nêu tên các đơn vị
2.9.4 Số đợt kiểm toán độc lập về CNTT trong năm: 0 thuê kiểm toán và phạm vi, nội dung
kiểm toán
Số đơn vị/chi nhánh được kiểm toán độc lập về
2.9.5 0
CNTT trong năm:
3 Ứng dụng nghiệp vụ Nội dung chi tiết
3.1 Ứng dụng ngân hàng lõi (Core banking)
3.1.1 Tên giải pháp, phiên bản: Oracle Flexcube Universal Banking, Version 14.1
3.1.2 Cơ sở dữ liệu: Oracle Database Enterprisce Version 12.2
3.1.3 Số lượng tài khoản khách hàng: 137,891

Số giao dịch trung bình/ngày (tính trong 1
3.1.4 565,000
năm)
10
3.1.5 Thời gian đưa vào sử dụng (Ngày/tháng/năm): 4/18/2020
Số lượng các module của Core banking đã triển
3.1.6
khai:
Đã triển khai: ghi 1/ Chưa triển
Khách hàng 1
khai: ghi 0
Tài khoản 1
khai: ghi 0
Tiền gửi 0
khai: ghi 0
Tiền vay 1
khai: ghi 0
Tài trợ thương mại 0
khai: ghi 0
Ủy thác 0
khai: ghi 0
Thanh toán quốc tế 0
khai: ghi 0
Thanh toán trong nước 0
khai: ghi 0
Teller 1
khai: ghi 0
Các module khác (Đề nghị ghi rõ) 0 <Liệt kê tên module khác>
3.1.7 Kết nối Corebank và các hệ thống khác: 0
khai: ghi 0
ERP 0
khai: ghi 0
Thanh toán thẻ ATM/POS 0
khai: ghi 0
Internet Banking/Mobile Banking 0
khai: ghi 0
SWIFT 0
khai: ghi 0
CITAD 0
khai: ghi 0
Reporting Systems 1
khai: ghi 0
11
Khác (Liệt kê chi tiết) 1 Hê thống kế toán D365 <Liệt kê tên hệ thống khác>
Phương thức kết nối giữa Corebank và các hệ
3.1.8
thống khác
Giao diện file 1
khai: ghi 0
Cơ sở dữ liệu 0
khai: ghi 0
Message Queue 0
khai: ghi 0
Trục tích hợp ESB 0
khai: ghi 0
Các phương thức khác (Đề nghị ghi rõ) 0 <Liệt kê tên phương thức khác>
Mức độ tự động hóa khi xử lý các giao dịch

3.1.9
giữa hệ thống Corebank và các hệ thống khác

Tự động 1
khai: ghi 0
Bán tự động 0
khai: ghi 0
Không tự động 0
khai: ghi 0
Xử lý đối chiếu dữ liệu giữa CoreBank và các
3.1.10
hệ thống khác
Không đối chiếu 0
khai: ghi 0
Đối chiếu thủ công 0
khai: ghi 0
Đối chiếu tự động một phần 1
khai: ghi 0
Đối chiếu tự động 0
khai: ghi 0
Mức độ sẵn sàng của hệ thống Corebanking
3.1.11
để triển khai Ngân hàng số
12
Không sẵn sàng, phải thay thế hệ thống
0
Corebanking khác
Cần nâng cấp phiên bản mới 0
Sẵn sàng 0
Hiện công ty cung cấp dịch vụ cho vay tiêu dùng, không đầy đủ
Ý kiến khác (Đề nghị ghi rõ)
các dịch vụ như ngân hàng.
3.2 Ứng dụng khác
Có triển Tên giải

Mô hình/ Phạm vi
khai/ Chưa pháp/nhà Thời gian đưa
triển khai
STT Tên ứng dụng triển khai cung cấp vào sử dụng Ghi chú
(Tự trang bị/ thuê
(Có: ghi 1/ giải pháp; (tháng/năm)
giải pháp)
Chưa: ghi 0 phiên bản
3.2.1 Quản trị nguồn lực (ERP) 0
Các module ERP đã triển khai
3.2.2 Hệ thống kho dữ liệu (Warehouse) 0
Quản lý giao dịch ngoại hối (Treasury

3.2.3 0
Management Systems)
Quản lý quan hệ khách hàng (Customer
3.2.4 0
Relationship Management)
Hệ thống hỗ trợ khách hàng (Call
3.2.5 1
Center/Contact Center)
3.2.6 Hệ thống Quản lý rủi ro 0
3.2.7 Thư điện tử nội bộ 1
3.2.8 Hệ thống quản lý văn bản 0
13
Giải pháp MIS (hệ thống báo cáo quản trị, bao
quát tất cả các nghiệp vụ và hoạt động của NH
3.2.9 để cung cấp thông tin báo cáo quản trị cho lãnh 0
đạo kịp thời, phục vụ công tác quản trị và ra
quyết định của lãnh đạo )
3.2.10 Giải pháp Chữ ký số 1

- Danh sách các ứng dụng đã tích hợp chữ ký
số
- Số lượng chứng thư số đã cấp còn hiệu lực
3.2.11 Triển khai giải pháp trục tích hợp dữ liệu 0
- Số lượng các hệ thống đã tích hợp ESB

<Liệt kê tên HTTT theo danh sách tại
- Danh sách các hệ thống đã tích hợp ESB
sheet II>
3.2.12 Các ứng dụng khác (ghi cụ thể) 0

Tham gia các hệ thống thanh toán, chuyển
4 Nội dung chi tiết
tiền điện tử
Có triển
Thời gian
khai/ Chưa Tổng số giao Tổng giá trị giao
đưa vào sử
STT Tên hệ thống triển khai dịch trong 1 dịch trong năm
dụng
(Có: ghi 1/ năm (Đơn vị triệu VND)
(tháng/năm)
Chưa: ghi 0
Hệ thống thanh toán điện tử liên ngân hàng – <Tổng số giao dịch gồm cả chiều đi
4.1 0
Ngân hàng Nhà nước và chiều đến>
Hệ thống thanh toán, chuyển tiền điện tử quốc
4.2 0
tế SWIFT
4.3 Hệ thống thanh toán ngoại tệ (VCB vận hành); 0
Hệ thống thanh toán tiền giao dịch chứng

4.4 0
khoán (BIDV vận hành)
14
Hệ thống bù trừ, chuyển mạch giao dịch tài
4.5 0
chính (NAPAS vận hành)
Hệ thống thanh toán song phương (nếu có xin

4.6 0 <Danh sách các ngân hàng kết nối>
liệt kê tên ngân hàng kết nối ở cột Ghi chú)
15
IV. TÌNH HÌNH HOẠT ĐỘNG THANH TOÁN THẺ
STT Nội dung khảo sát Số liệu
1 THIẾT BỊ ATM
1.1 Tổng số ATM: 0
1.2 Số lượng ATM có tính năng chấp nhận thẻ chip: 0
1.3 Số lượng ATM có tính năng chấp nhận tiền gửi: 0
1.4 Số lượng ATM lắp đặt thiết bị Anti-Skimming: 0
1.5 Số lượng ATM lắp đặt camera giám sát bên ngoài: 0
1.6 Số lượng ATM lắp đặt thiết bị che bàn phím: 0
Số lượng ATM thế hệ mới (có chức năng nhận diện khách hàng - eKYC, hỗ trợ thực
1.7 0
hiện các giao dịch khác ngoài nhận, rút tiền, chuyển khoản như ATM thông thường)
1.8 Số lượng ATM sử dụng hệ điều hành còn hỗ trợ của hãng: 0
2 Thiết bị POS/MPOS
2.1 Tổng số POS: 0
2.2 Số lượng POS loại có dây: 0
2.3 Số lượng POS không dây: 0
2.4 Số lượng mPOS (Mobile POS): 0
3 Hoạt động của hệ thống thẻ thanh toán
3.1 Số lượng thẻ thanh toán phát hành đang hoạt động
16
3.1.1 Thẻ nội địa
- Tổng số thẻ nội địa đã phát hành đang hoạt động
- Tổng số thẻ chip nội địa đã phát hành đang hoạt động
- Tổng số thẻ tín dụng nội địa đã phát hành đang hoạt động
- Tổng số thẻ ghi nợ nội địa đã phát hành đang hoạt động
- Tổng số thẻ tín dụng nội địa đang hoạt động có phát sinh giao dịch
- Tổng số thẻ ghi nợ nội địa đang hoạt động có phát sinh giao dịch
- Số thẻ tín dụng nội địa đang hoạt động có phát sinh giao dịch trong năm từ 5 triệu
VNĐ trở lên
- Số thẻ ghi nợ đang hoạt động có phát sinh giao dịch trong năm từ 5 triệu VNĐ trở
lên
3.1.2 Thẻ quốc tế
- Tổng số thẻ quốc tế đã phát hành đang hoạt động 0
- Tổng số thẻ tín dụng quốc tế đã phát hành đang hoạt động 0
- Tổng số thẻ ghi nợ quốc tế đã phát hành đang hoạt động 0
- Tổng số thẻ tín dụng quốc tế đang hoạt động phát sinh giao dịch 0
- Tổng số thẻ ghi nợ quốc tế đang hoạt động phát sinh giao dịch 0
- Số thẻ tín dụng quốc tế đang hoạt động có phát sinh giao dịch trong năm từ tương
0
đương 500 USD trở lên
3.2 Tổng số lượng giao dịch qua hệ thống thanh toán thẻ
17
3.2.1 Tổng số giao dịch qua ATM
3.2.2 Tổng số giao dịch qua POS/mPOS
3.3 Các giải pháp an ninh bảo mật cho thanh toán thẻ
3.3.1 Thẻ nội địa
- Tính năng thiết lập mở/khoá thẻ bằng ứng dụng Internet Banking, Mobile
Có
Banking.
- Tính năng thiết lập thanh toán/không thanh toán trực tuyến ứng dụng Internet
Có
Banking, Mobile Banking.
- Giải pháp khác (nếu có)
3.3.2 Thẻ quốc tế Không

- Tính năng thiết lập mở/khoá thẻ bằng ứng dụng Internet Banking, Mobile
Không
Banking.
- Tính năng thiết lập thanh toán/không thanh toán trực tuyến ứng dụng Internet
Không
Banking, Mobile Banking.
- Tính năng thiết lập thanh toán/không thanh toán ở nước ngoài trên ứng dụng
Không
Internet Banking, Mobile Banking.
- 3D Secure (hoặc tương đương) Không
- Giải pháp khác (nếu có) Không
18
Ghi chú
<Ghi rõ chủng loại ATM>
Hệ điều hành Windows 8.1 trở lên.
19
(Tính lũy kế từ các năm tới 31/12/2021)
(Tính lũy kế từ các năm tới 31/12/2021) <C23
(Tính từ ngày 01/01/2021 tới 31/12/2021) <C25
(Tính từ ngày 01/01/2021 tới 31/12/2021) <C26
(Tính từ ngày 01/01/2021 tới 31/12/2021) <C27
(Tính từ ngày 01/01/2021 tới 31/12/2021) <C28
(Tính lũy kế từ các năm tới 31/12/2021)
(Tính từ ngày 01/01/2021 tới 31/12/2021) <C33
(Tính từ ngày 01/01/2021 tới 31/12/2021) <C34
(Tính từ ngày 01/01/2021 tới 31/12/2021) <C35
20
(Tính từ ngày 01/01/2021 tới 31/12/2021)
(Tính từ ngày 01/01/2021 tới 31/12/2021)
Khách hàng có thể yêu cầu mở/khóa thẻ qua ứng dụng
Internet Banking
Khách hàng có thể yêu cầu thiết lập thanh toán/ không
thanh toán trực tuyến qua ứng dụng Internet Banking
Chưa triển khai thẻ quốc tế
21
V. TÌNH HÌNH CUNG CẤP DỊCH VỤ TRÊN MẠNG INTERNET
STT Nội dung khảo sát Số liệu Ghi chú
1 Website của ngân hàng
1.1 Số lượng các chuyên mục:
1.1.1 Giới thiệu về đơn vị 1 (Có: ghi 1/ Chưa: ghi 0)
1.1.2 Tin tức về hoạt động của đơn vị 1 (Có: ghi 1/ Chưa: ghi 0)
1.1.3 Thông tin cho nhà đầu tư và cổ đông 1 (Có: ghi 1/ Chưa: ghi 0)
1.1.4 Thông tin lãi suất 1 (Có: ghi 1/ Chưa: ghi 0)
1.1.5 Thông tin về các loại phí 1 (Có: ghi 1/ Chưa: ghi 0)
1.1.6 Thông tin về tỷ giá 0 (Có: ghi 1/ Chưa: ghi 0)

1.1.7 Sản phẩm, dịch vụ cho khách hàng cá nhân 1 (Có: ghi 1/ Chưa: ghi 0)
Sản phẩm, dịch vụ cho khách hàng doanh
1.1.8 0 (Có: ghi 1/ Chưa: ghi 0)
nghiệp
1.1.9 Dịch vụ ngân hàng điện tử 1 (Có: ghi 1/ Chưa: ghi 0)
1.1.10 Chuyên mục khác 1 <Liệt kê các chuyên mục khác >
1.2 Hỗ trợ khách hàng:
1.2.1 Số lượng phương thức hỗ trợ khách hàng:
- Qua email 1 (Có: ghi 1/ Chưa: ghi 0)
- Qua ứng dụng trực tuyến 1 (Có: ghi 1/ Chưa: ghi 0)
- Qua telephone 1 (Có: ghi 1/ Chưa: ghi 0)
- Phương thức khác 1 (Có: ghi 1/ Chưa: ghi 0)
- Số lượng nội dung hỗ trợ khách hàng:
- Hướng dẫn giao dịch

- Tên nội dung hỗ trợ khách hàng: (hướng dẫn, - Tiếp nhận góp ý
<Liệt kê nội dung hỗ trợ>
góp ý, tiếp nhận sự cố…) - Tiếp nhận sự cố
- Hỗ trợ thủ tục vay vốn
1.3 Thông tin khác
Hàng ngày: ghi 4

Hàng tuần: ghi 3
1.3.1 Tần suất cập nhật website: 3
Hàng tháng: ghi 2
Không thường xuyên: ghi 1
22
1.3.2 Sơ đồ website: 0 (Có: ghi 1/ Chưa: ghi 0)
1.3.3 Chính sách privacy: 0 (Có: ghi 1/ Chưa: ghi 0)
1.3.4 Email: 1 (Có: ghi 1/ Chưa: ghi 0)
1.3.5 Khác:
2 Dịch vụ Internet Banking
2.1 Địa chỉ trang Internet Banking: https://card.jaccs.com.vn
2.2 Ngày hoạt động chính thức: 15/01/2018
Dịch vụ Internet Banking cho khách hàng cá

2.3 Đã triển khai: ghi 1/ Chưa triển khai: ghi 0
nhân
2.3.1 Tra cứu (số dư, giao dịch) 1
2.3.2 Chuyển khoản trong hệ thống 0
2.3.3 Chuyển khoản ngoài hệ thống 0
2.3.4 Chuyển khoản nhanh 24/7 ngoài hệ thống 0
2.3.5 Thanh toán bằng QR Code 0
2.3.6 Tiết kiệm điện tử 0

Thanh toán hoá đơn (điện, nước, điện thoại,
2.3.7 Internet, …) 0
2.3.8 Nạp tiền điện tử (ví điện tử, điện thoại di động,…) 0
2.3.9 Mua thẻ trả trước (điện thoại di động, thẻ game,…) 0
Quản lý dịch vụ thẻ (Đăng ký phát hành thẻ,
2.3.10 mở/khóa thẻ, thanh toán thẻ tín dụng…) 1
2.3.11 Các dịch vụ khác (ghi cụ thể tên từng dịch vụ)
Dịch vụ Internet Banking cho khách hàng

2.4 Đã triển khai: ghi 1/ Chưa triển khai: ghi 0
doanh nghiệp
2.4.1 Tra cứu (số dư, giao dịch) 0
2.4.2 Chuyển khoản trong hệ thống 0
2.4.3 Chuyển khoản ngoài hệ thống 0
2.4.4 Thu ngân sách (nộp thuế, phí, lệ phí) 0
2.4.5 Chi trả lương nhân viên 0
23
Giao dịch tín dụng thư (phát hành, sửa đổi tín dụng
2.4.6 thư; truy vấn thông tin tín dụng thư) 0
2.4.7 Các dịch vụ khác (ghi cụ thể tên từng dịch vụ) 0
3 Các dịch vụ ngân hàng điện tử
Tổng số lượng giao

Có triển khai (Có:
Số lượng khách hàng cá nhân Số lượng khách hàng doanh dịch trong năm 2021 Tổng giá trị giao dịch trong
Loại dịch vụ ghi 1/ Không: ghi
có trên hệ thống nghiệp có trên hệ thống (Chỉ tính các giao năm 2021
0)
dịch tài chính)
Tổng số khách hàng sử dụng dịch vụ ngân

3.1
hàng điện tử
3.2 Internet Banking 1
3.3 Mobile Banking
3.4 SMS Banking
3.5 Ví điện tử
3.6 Cổng thanh toán/ trung gian thanh toán

Các dịch vụ ngân hàng điện tử khác (ghi cụ
3.7
thể):…
3.8 Dịch vụ ngân hàng truyền thống (tại quầy)
Tổng số giao dịch (cả điện tử và truyền
3.9
thông)
4 Các giải pháp an toàn thông tin cho ứng dụng cung cấp dịch vụ cho khách hàng
Có triển khai (Có:
Số lượng khách hàng cá nhân Số lượng khách hàng doanh
Tên giải pháp ghi 1/ Không: ghi Ghi chú
sử dụng nghiệp sử dụng
0)
<Lưu ý điền đầy đủ thông tin về số lượng khách hàng
4.1 Xác thực bằng mã CAPTCHA 1 0
sử dụng của từng giải pháp>
4.2 Xác thực bằng tên đăng nhập và mật khẩu 1 0
4.3 Xác thực bằng SMS OTP 1 0
4.4 Xác thực bằng thẻ ma trận 0 0 0

Xác thực bằng token OTP loại cơ bản (OTP
4.5 0 0 0
sinh theo thời gian hoặc sự kiện)
Xác thực bằng token OTP loại nâng cao (có
4.6 0 0 0
chức năng ký giao dịch)
Xác thực bằng soft OTP loại cơ bản (OTP sinh
4.7 0 0 0
theo thời gian hoặc sự kiện)
Xác thực bằng soft OTP loại nâng cao (có chức
4.8 0 0 0
năng ký giao dịch)
24
4.9 Xác thực hai kênh 0 0 0
4.10 Xác thực bằng dấu hiệu sinh trắc học vân tay 0 0 0
Xác thực bằng dấu hiệu sinh trắc học Khuôn
4.11 0 0 0
mặt
4.12 Xác thực bằng U2F (Universal 2nd Factor) 0 0 0
Xác thực bằng UAF (Universal Authentication
4.13 0 0 0
Framework)
4.14 Xác thực bằng chữ ký số 0 0 0
Giải pháp theo dõi, giám sát, cảnh báo các giao
4.15 0 <Ghi rõ tên giải pháp ở đây>
dịch bất thường
4.16 Các giải pháp khác 0 0 0 <Ghi rõ tên giải pháp ở đây>
25
VI. TÌNH HÌNH ỨNG DỤNG CÔNG NGHỆ MỚI
Thời gian đưa vào Mô tả sơ bộ về Đối tác cung cấp
STT Tên sản phẩm ứng dụng mục đích, chức hoặc Công ty Ghi chú
(tháng/năm) năng chính Fintech hợp tác
1 Blockchain
1.1 Tên sản phẩm 1
….
2 Big data
….
3 AI
…
4 Open API
(ghi rõ tên giải pháp
4.1 Có giải pháp API Management không? trong phần mô tả)
4.2 Hàm API số 1…
4.3 Hàm API số 2…
…
5 Robot tự động
…
6 Omni-Channel
…
7 Sinh trắc học
26
…
8 Các công nghệ mới khác
8.1 …….Tên công nghệ 1
8.2 …….Tên công nghệ 2
…
27
VII. TÌNH HÌNH TUÂN THỦ THÔNG TƯ 09/2020/TT-NHNN
STT Nội dung báo cáo Nội dung đã triển khai tại đơn vị
Chương I Chương I QUY ĐỊNH CHUNG
Điều 5 Điều 5. Phân loại hệ thống thông tin
1. Đối với hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng, các tổ
chức thực hiện phân loại theo quy định tại Nghị định số 85/2016/NĐ-CP ngày
- JIVF đã thực hiện phân loại hệ thống thông tin của JIVF theo
01/7/2016 của Chính phủ quy định về bảo đảm an toàn hệ thống thông tin theo
quy định tại khoản 2, 3, 4, 5, 6, 7 Điều này.
cấp độ. Đối với các hệ thống thông tin khác, thực hiện phân loại theo quy định tại
khoản 2, 3, 4, 5, 6, 7 Điều này.
8. Tổ chức thực hiện phân loại hệ thống thông tin theo cấp độ quy định tại khoản
1, 2, 3, 4, 5, 6, 7 Điều này. Hồ sơ, thủ tục thẩm định, phê duyệt hệ thống thông - JIVF đã thực hiện phân loại hệ thống thông tin theo cấp độ quy
tin theo cấp độ tuân thủ quy định tại Nghị định số 85/2016/NĐ-CP. Đối với hồ định tại khoản 1, 2, 3, 4, 5, 6, 7 Điều này.
sơ đề xuất các hệ thống thông tin cấp độ 4, 5, tổ chức gửi hồ sơ cho Ngân hàng
Nhà nước (Cục Công nghệ thông tin) để lấy ý kiến.
- JIVF đã thực hiện việc lập, rà soát và cập nhật Danh sách hệ
9. Danh sách hệ thống thông tin theo cấp độ phải được lập và rà soát, cập nhật
thống thông tin theo cấp độ sau khi hệ thống được triển khai và
sau khi hệ thống được triển khai và định kỳ hàng năm.
định kỳ hàng năm.
Điều 6 Điều 6. Quy chế an toàn thông tin
1. Tổ chức xây dựng quy chế an toàn thông tin phù hợp với hệ thống thông tin,
- JIVF đã xây dựng quy chế an toàn thông tin với sự phê duyệt
cơ cấu tổ chức, yêu cầu quản lý và hoạt động của tổ chức. Quy chế an toàn thông
của các cấp có thẩm quyền của JIVF và đang tiến hành triển khai
tin phải được người đại diện hợp pháp ký ban hành và triển khai thực hiện trong
thực hiện.
toàn tổ chức.
2. Quy chế an toàn thông tin tối thiểu gồm các nội dung cơ bản sau:
a) Quản lý tài sản công nghệ thông tin;
b) Quản lý nguồn nhân lực;
c) Bảo đảm an toàn về mặt vật lý và môi trường lắp đặt;
d) Quản lý vận hành và trao đổi thông tin;
- JIVF đã xây dựng quy chế an toàn thông tin với đầy đủ các nội
đ) Quản lý truy cập;
dung từ a đến k.
e) Quản lý sử dụng dịch vụ công nghệ thông tin của bên thứ ba;
g) Quản lý tiếp nhận, phát triển, duy trì hệ thống thông tin;
h) Quản lý sự cố an toàn thông tin;
i) Bảo đảm hoạt động liên tục của hệ thống thông tin;
k) Kiểm tra nội bộ và chế độ báo cáo.
3. Tổ chức rà soát quy chế an toàn thông tin tối thiểu mỗi năm một lần, bảo đảm
sự đầy đủ của quy chế theo các quy định tại Thông tư này. Khi phát hiện những
JIVF đã hoàn thiện việc rà soát quy chế an toàn thông tin năm
bất cập, bất hợp lý gây ra mất an toàn thông tin hoặc theo yêu cầu của cơ quan có
2022
thẩm quyền, tổ chức tiến hành chỉnh sửa, bổ sung ngay quy chế an toàn thông tin
đã ban hành.
Chương II CÁC QUY ĐỊNH VỀ BẢO ĐẢM AN TOÀN THÔNG TIN

Mục 1 Quản lý tài sản công nghệ thông tin
Điều 7 Điều 7. Quản lý tài sản công nghệ thông tin
2. Tổ chức lập danh sách của tất cả các tài sản công nghệ thông tin gắn với từng JIVF có thực hiện lập danh sách tài sản công nghệ thông tin. Cuối
hệ thống thông tin theo quy định tại khoản 9, Điều 5 Thông tư này. Định kỳ hàng mỗi năm, JIVF sẽ thực hiện rà soát và cập nhật danh sách tài sản
năm rà soát và cập nhật danh sách tài sản công nghệ thông tin. công nghệ thông tin.
3. Căn cứ theo cấp độ của hệ thống thông tin, tổ chức thực hiện các biện pháp
JIVF đã triển khai thực hiện theo quy định của Thông tư.
quản lý, bảo vệ phù hợp với từng loại tài sản công nghệ thông tin.
4. Căn cứ phân loại tài sản công nghệ thông tin tại khoản 1 Điều này, tổ chức xây
JIVF đã ban hành và đang triển khai thực hiện theo quy trình
dựng và thực hiện các quy định về quản lý và sử dụng tài sản theo quy định tại
quản lý tài sản công nghệ thông tin.
Điều 8, 9, 10, 11 và Điều 12 Thông tư này.
Điều 8 Điều 8. Quản lý tài sản thông tin
- JIVF đã cập nhật danh sách tài sản thông tin vào cuối năm 2021.
1. Với mỗi hệ thống thông tin, tổ chức phải lập danh sách tài sản thông tin, quy
- JIVF đã quy định về thẩm quyền, trách nhiệm của cá nhân hoặc
định về thẩm quyền, trách nhiệm của cá nhân hoặc bộ phận của tổ chức được tiếp
bộ phận bằng cách cài đặt quyền hạn/phê duyệt trên hệ thống
cận, khai thác và quản lý.
thông tin của JIVF.
2. Tài sản thông tin phải phân loại theo loại thông tin quy định tại Điều 4 Thông JIVF đã thực hiện phân loại tài sản thông tin theo Điều 4, thông
tư này. tư 09/2020/TT-NHNN.
3. Tài sản thông tin thuộc loại thông tin bí mật phải được mã hóa hoặc có biện JIVF có áp dụng mã hóa/ biện pháp khác để bảo vệ thông tin bí
pháp bảo vệ để bảo mật thông tin trong quá trình tạo lập, trao đổi, lưu trữ. mật
- JIVF phân loại CARDLINK là hệ thống thông tin cấp độ 3 và

4. Tài sản thông tin trên hệ thống thông tin từ cấp độ 3 trở lên phải áp dụng thông tin trên hệ thống này được áp dụng phương án chống thất
phương án chống thất thoát dữ liệu. thoát dữ liệu theo “Quy định yêu cầu kỹ thuật về an toàn bảo mật
đối với trang thiết bị phục vụ thanh toán thẻ” của JIVF.
Điều 9 Điều 9. Quản lý tài sản vật lý

1. Tài sản vật lý là thiết bị di động, vật mang tin, ngoài các quy định tại Điều JIVF đang triển khai quản lý thiết bị di động, vật mang tin theo
này, phải được quản lý theo quy định tại Điều 11, Điều 12 Thông tư này. các quy định tại Điều 9, Điều 11 và Điều 12 Thông tư này.
2. Với mỗi hệ thống thông tin do tổ chức trực tiếp quản lý, tổ chức phải lập danh
sách tài sản vật lý gồm các thông tin cơ bản sau: tên tài sản, giá trị, vị trí lắp đặt, JIVF đã ban hành biểu mẫu theo quy định của thông tư và đang
chủ thể quản lý, mục đích sử dụng, tình trạng sử dụng, hệ thống thông tin tương triển khai áp dụng.
ứng.
Tùy theo đặc điểm của từng loại tài sản vật lý, JIVF đã thực hiện
3. Tài sản vật lý phải được giao, gán trách nhiệm cho cá nhân hoặc bộ phận quản
giao, gán trách nhiệm quản lý, sử dụng cho cá nhân hoặc bộ phận
lý, sử dụng.
có liên quan tại JIVF
- Việc mang tài sản vật lý ra khỏi trụ sở của JIVF được thực hiện
4. Tài sản vật lý khi mang ra khỏi trụ sở của tổ chức phải được sự phê duyệt của theo sự phê duyệt của các cấp có thẩm quyền.
cấp có thẩm quyền và phải thực hiện biện pháp bảo vệ để bảo mật thông tin lưu - Thông tin bí mật lưu trữ trên tài sản vật lý được đặt mật khẩu;
trữ trên tài sản nếu tài sản đó có chứa thông tin bí mật. các máy tính xách tay, máy tính cá nhân đều phải có mật khẩu để
đăng nhập.
5. Tài sản vật lý có lưu trữ thông tin bí mật khi thay đổi mục đích sử dụng hoặc
thanh lý phải được thực hiện các biện pháp tiêu hủy hoặc xóa thông tin bí mật đó - JIVF đã triển khai thực hiện các biện pháp tiêu hủy hoặc xóa
bảo đảm không có khả năng phục hồi. Trường hợp không thể tiêu hủy được thông tin bí mật lưu trữ trên tài sản vật lý trước khi thay đổi mục
thông tin bí mật, tổ chức thực hiện biện pháp tiêu hủy cấu phần lưu trữ dữ liệu đích sử dụng hoặc thanh lý.
trên tài sản đó.
Điều 10 Điều 10. Quản lý tài sản phần mềm
1. Với mỗi hệ thống thông tin do tổ chức quản lý trực tiếp, tổ chức phải lập danh
sách tài sản phần mềm với các thông tin cơ bản gồm: tên tài sản, giá trị, mục đích JIVF đã ban hành biểu mẫu theo quy định của thông tư và đang
sử dụng, phạm vi sử dụng, chủ thể quản lý, thông tin về bản quyền, phiên bản, hệ triển khai áp dụng.
thống thông tin thành phần (nếu có).
2. Tài sản phần mềm phải được gán trách nhiệm cho cá nhân hoặc bộ phận quản Bộ phận Hệ thống văn phòng của JIVF được gán trách nhiệm
lý. quản lý các tài sản phần mềm tại JIVF.
Tài sản phần mềm được JIVF rà soát, cập nhật các bản vá lỗi về
3. Tài sản phần mềm phải được định kỳ rà soát và cập nhật các bản vá lỗi về an
an ninh bảo mật tối thiểu mỗi năm 1 lần hoặc khi có yêu cầu từ
ninh bảo mật.
nhà sản xuất
JIVF đã triển khai thực hiện các quy định tại Điều 12 Thông tư
này đối với tài sản phần mềm lưu trữ trên vật mang tin như:
+ Phải được sự phê duyệt của Tổng giám đốc khi đấu nối, gỡ bỏ
vật mang tin với các thiết bị công nghệ thông tin thuộc hệ thống
thông tin JIVF.
+ Mỗi năm 1 lần, Bộ phận Hệ thống văn phòng kiểm kê vật mang
4. Tài sản phần mềm khi lưu trữ trên vật mang tin phải tuân thủ các quy định tại tin.
Điều 12 Thông tư này. + Người dùng phải đặt mật khẩu cho thông tin bí mật chứa trong
vật mang tin.
+ Bộ phận Hệ thống văn phòng gắn quyền sử dụng vật mang tin
cho từng cá nhân sử dụng và người dùng chịu trách nhiệm: bảo vệ
thiết bị chống hư hỏng, mất cắp, thất lạc. Đồng thời người dùng
phải báo cho bộ phận Hệ thống văn phòng nếu có bất kỳ sự cố
nào xảy ra để có biện pháp xử lý cụ thể.
Điều 11 Điều 11. Quản lý sử dụng thiết bị di động

1. Các thiết bị di động khi kết nối vào hệ thống mạng nội bộ của tổ chức phải
được đăng ký để kiểm soát.
Các thiết bị di động tại trụ sở và văn phòng JIVF không được kết
nối vào mạng nội bộ JIVF trừ khi có sự phê duyệt từ Tổng giám
đốc cho các trường hợp đặc biệt. Các thiết bị di động tại các điểm
giới thiệu dịch vụ và văn phòng đại diện JIVF được kết nối vào
Các thiết bị di động tại trụ sở và văn phòng JIVF không được kết
nối vào mạng nội bộ JIVF trừ khi có sự phê duyệt từ Tổng giám
đốc cho các trường hợp đặc biệt. Các thiết bị di động tại các điểm
2. Giới hạn phạm vi kết nối từ thiết bị di động đến các dịch vụ, hệ thống thông giới thiệu dịch vụ và văn phòng đại diện JIVF được kết nối vào
tin của tổ chức; kiểm soát các kết nối từ thiết bị di động tới các hệ thống thông mạng nội bộ JIVF thông qua kết nối VPN.
tin được phép sử dụng tại tổ chức.
3. Quy định trách nhiệm của cá nhân trong tổ chức khi sử dụng thiết bị di động JIVF đã quy định trách nhiệm của người dùng trong Quy chế an
để phục vụ công việc. toàn thông tin của JIVF
4. Thiết bị di động được sử dụng để phục vụ công việc phải áp dụng các biện - JIVF đang nghiên cứu để triển khai việc thực hiện thiết lập chức
pháp kỹ thuật tối thiểu sau: năng vô hiệu hóa, khóa thiết bị hoặc xóa dữ liệu từ xa trong
a) Thiết lập chức năng vô hiệu hóa, khóa thiết bị hoặc xóa dữ liệu từ xa trong trường hợp thất lạc hoặc bị mất cắp.
trường hợp thất lạc hoặc bị mất cắp;
b) Sao lưu dữ liệu trên thiết bị di động nhằm bảo vệ, khôi phục dữ liệu khi cần - JIVF đã triển khai thực hiện việc sao lưu dữ liệu/di chuyển dữ
thiết; liệu vào vật mang tin nhằm bảo vệ dữ liệu trước khi bảo hành,
c) Thực hiện các biện pháp bảo vệ dữ liệu khi bảo hành, bảo trì, sửa chữa thiết bị bảo trì, khắc phục sự cố thiết bị di động khi có yêu cầu từ người
di động. dùng.
a) JIVF đã thực hiện cấu hình thiết bị di động để không cho phép
người dùng tự ý cài đặt phần mềm vào thiết bị di động. Đồng
5. Với thiết bị di động là tài sản của tổ chức, ngoài việc áp dụng các quy định tại
thời, JIVF cũng đang sử dụng hệ thống quản lý thiết bị di động
khoản 4 Điều này, tổ chức phải áp dụng các biện pháp kỹ thuật tối thiểu sau đây:
(Mobile Device Management) nhằm kiểm soát các phần mềm
a) Kiểm soát các phần mềm được cài đặt; cập nhật các phiên bản phần mềm và
được cài đặt trên thiết bị di động và thời gian hiệu lực của các
các bản vá lỗi trên thiết bị di động;
phiên bản phần mềm được cài đặt trên thiết bị di động. Việc cập
b) Sử dụng các tính năng bảo vệ thông tin cá nhân, thông tin nội bộ, thông tin bí
nhật các phiên bản phần mềm và các bản vá lỗi trên thiết bị di
mật (nếu có); thiết lập mã khóa bí mật; cài đặt phần mềm phòng chống mã độc
động được thực hiện theo yêu cầu từ nhà sản xuất.
và các lỗi bảo mật khác.
b) Các thiết bị di động của JIVF đã được thiết lập tên và mật khẩu
đăng nhập, cài đặt phần mềm phòng chống virus.
Điều 12 Điều 12. Quản lý sử dụng vật mang tin
JIVF đã thực hiện quản lý vật mang tin theo Điều 12, Thông tư
này, cụ thể như sau:
Tổ chức phải quản lý sử dụng vật mang tin theo quy định sau:
- Việc đấu nối, gỡ bỏ vật mang tin với các thiết bị công nghệ
1. Kiểm soát việc đấu nối, gỡ bỏ vật mang tin với thiết bị thuộc hệ thống thông
thông tin thuộc hệ thống thông tin JIVF được Bộ phận Hệ thống
tin.
văn phòng thực hiện theo nhu cầu công việc của người dùng và
được sự phê duyệt bằng văn bản của Tổng giám đốc.
Tối thiểu mỗi năm 1 lần, JIVF có thực hiện kiểm kê vật mang tin.
JIVF quản lý kho lưu trữ vật mang tin đảm bảo kho có khóa còn
2. Triển khai các biện pháp bảo đảm an toàn vật mang tin khi vận chuyển, lưu
hoạt động tốt, sạch sẽ, ngăn nắp, không ẩm ướt. Đồng thời, người
trữ.
dùng chịu trách nhiệm cá nhân trong việc sử dụng, quản lý vật
mang tin.
Thông tin bí mật chứa trong vật mang tin được đặt mật khẩu bởi
3. Thực hiện biện pháp bảo vệ đối với thông tin bí mật chứa trong vật mang tin.
người dùng.
JIVF đã quy định trách nhiệm của cá nhân trong quản lý, sử dụng
4. Quy định trách nhiệm của cá nhân trong quản lý, sử dụng vật mang tin. vật mang tin trong quy trình nội bộ "Quy trình quản lý tài sản
công nghệ thông tin".
Mục 2 Mục 2 QUẢN LÝ NGUỒN NHÂN LỰC
Điều 13 Điều 13. Tổ chức nguồn nhân lực
1. Người đại diện hợp pháp phải trực tiếp tham gia chỉ đạo và có trách nhiệm Tổng giám đốc JIVF trực tiếp tham gia chỉ đạo và có trách nhiệm
trong công tác xây dựng chiến lược, kế hoạch về bảo đảm an toàn thông tin, ứng trong công tác xây dựng chiến lược, kế hoạch về bảo đảm an toàn
cứu các sự cố an toàn thông tin xảy ra tại tổ chức. thông tin, ứng cứu các sự cố an toàn thông tin xảy ra tại JIVF.
2. Tổ chức chỉ có hệ thống thông tin từ cấp độ 2 trở xuống chỉ định bộ phận có
trách nhiệm đảm bảo an toàn thông tin.
- Bộ phận Hệ thống văn phòng được chỉ định là bộ phận có trách

nhiệm đảm bảo an toàn thông tin tại JIVF.
- Bộ phận Hệ thống văn phòng đã xây dựng bảng mô tả công
3. Tổ chức quản lý trực tiếp hệ thống thông tin từ cấp độ 3 trở lên thực hiện: việc và tổ chức nhân sự tại bộ phận Hệ thống văn phòng để đảm
a) Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin có chức bảo các nhiệm vụ sau được tách biệt: (i) Phát triển với quản trị hệ
năng, nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an toàn thông tin thống thông tin; (ii) Phát triển với vận hành hệ thống thông tin;
cho tổ chức; (iii) Quản trị với vận hành hệ thống thông tin; (iv) Kiểm tra về an
b) Tách biệt nhân sự giữa các nhiệm vụ: (i) Phát triển với quản trị hệ thống thông toàn thông tin với phát triển, quản trị, vận hành hệ thống thông
tin; (ii) Phát triển với vận hành hệ thống thông tin; (iii) Quản trị với vận hành hệ tin.
thống thông tin; (iv) Kiểm tra về an toàn thông tin với phát triển, quản trị, vận
hành hệ thống thông tin.
Điều 14 Điều 14. Tuyển dụng và phân công nhiệm vụ

Tổ chức tuyển dụng nhân sự và phân công nhiệm vụ theo quy định sau:
1. Xác định trách nhiệm trong việc bảo đảm an toàn thông tin của vị trí cần tuyển JIVF đang trong quá trình triển khai thực hiện quy định này.
dụng hoặc phân công.
2. Xem xét, đánh giá tư cách đạo đức, trình độ chuyên môn thông qua lý lịch, lý
JIVF đang trong quá trình rà soát lại lý lịch tư pháp của nhân viên
lịch tư pháp trước khi phân công nhân sự làm việc tại các vị trí quan trọng của hệ
vận hành hệ thống thông tin cấp độ 3 để đảm bảo đầy đủ giấy tờ
thống thông tin như: vận hành hệ thống thông tin từ cấp độ 3 trở lên hoặc quản
theo quy định.
trị hệ thống thông tin.
3. Yêu cầu người được tuyển dụng cam kết bảo mật thông tin bằng văn bản riêng
hoặc cam kết trong hợp đồng lao động. Cam kết này phải bao gồm các điều JIVF đã thực hiện quy định này: nhân viên các phòng ban được
khoản về trách nhiệm bảo đảm an toàn thông tin trong và sau khi làm việc tại tổ ký cam kết bảo mật thông tin trong và sau khi làm việc tại JIVF.
chức.
JIVF đã thực hiện quy định này: nhân sự mới tuyển dụng thuộc
4. Đào tạo, phổ biến các quy định của tổ chức về an toàn thông tin đối với nhân Bộ phận Hệ thống văn phòng được bộ phận Hệ thống văn phòng
sự mới tuyển dụng. đào tạo, phổ biến các quy định về an toàn thông tin. Hình thức
đào tạo là trực tiếp hoặc trực tuyến.
Điều 15 Điều 15. Quản lý sử dụng nguồn nhân lực

- Tối thiểu mỗi năm một lần, bộ phận Hệ thống văn phòng phối
hợp với các bộ phận liên quan để phổ biến các quy định về an
Tổ chức quản lý nguồn nhân lực như sau:
toàn thông tin cho tất cả các nhân viên JIVF. Hình thức đào tạo:
1. Phổ biến, cập nhật các quy định về an toàn thông tin cho tất cả cá nhân trong
trực tiếp hoặc trực tuyến.
tổ chức tối thiểu mỗi năm một lần.
- Tháng 12/2021, Bộ phận Hệ thống văn phòng đã thực hiện việc
đào tạo này.
- Bộ phận Kiểm toán nội bộ và kiểm soát nội bộ có thực hiện

kiểm tra việc tuân thủ các quy định về an toàn thông tin của bộ
2. Kiểm tra việc tuân thủ các quy định về an toàn thông tin đối với cá nhân, bộ
phận Hệ thống văn phòng. Bộ phận Kiểm toán nội bộ thực hiện
phận trực thuộc tối thiểu mỗi năm một lần.
kiểm tra mỗi năm 1 lần, bộ phận kiểm soát nội bộ thực hiện kiểm
tra mỗi quý 1 lần.
JIVF đã ban hành và triển khai thực hiện theo quy định này: Khi
phát hiện có hành vi vi phạm an toàn thông tin các cá nhân/bộ
3. Áp dụng các biện pháp xử lý kỷ luật đối với cá nhân, bộ phận vi phạm quy
phận sẽ báo cáo về bộ phận Hệ thống văn phòng và bộ phận Hành
định an toàn thông tin theo quy định của pháp luật và quy định của tổ chức.
chính nhân sự để xứ lý vi phạm theo quy định nội bộ JIVF và quy
định pháp luật (nếu có).
Điều 16 Điều 16. Chấm dứt hoặc thay đổi công việc
JIVF xác định trách nhiệm của nhân viên khi chấm dứt hoặc thay
đổi công việc liên quan việc quản lý, vận hành hệ thống thông tin
Khi cá nhân trong tổ chức chấm dứt hoặc thay đổi công việc, tổ chức thực hiện:
thông qua việc phê duyệt của bộ phận Hệ thống văn phòng trên
1. Xác định trách nhiệm của cá nhân khi chấm dứt hoặc thay đổi công việc.
đơn yêu cầu chấm dứt/thay đổi tài khoản, biên bản bàn giao/xác
nhận tình trạng tài sản (nếu có).
JIVF đã triển khai thực hiện theo quy định của Thông tư: cá nhân
2. Yêu cầu cá nhân bàn giao lại tài sản công nghệ thông tin. bàn giao tài sản công nghệ thông tin cho bộ phận Hệ thống văn
phòng hoặc bộ phận trực thuộc của cá nhân đó.
Bộ phận Hệ thống văn phòng chịu trách nhiệm thu hồi quyền truy
3. Thu hồi ngay quyền truy cập hệ thống thông tin của cá nhân nghỉ việc.
cập hệ thống thông tin của nhân viên khi nghỉ việc.
Bộ phận Hệ thống văn phòng chịu trách nhiệm thay đổi kịp thời
quyền truy cập hệ thống thông tin của cá nhân thay đổi công việc
4. Thay đổi kịp thời quyền truy cập hệ thống thông tin của cá nhân thay đổi công
bảo đảm nguyên tắc quyền vừa đủ để thực hiện công việc dựa
việc bảo đảm nguyên tắc quyền vừa đủ để thực hiện nhiệm vụ được giao.
trên đơn xin chấm dứt/thay đổi tài khoản đã được sự phê duyệt
của Trưởng bộ phận liên quan.
5. Rà soát, kiểm tra đối chiếu định kỳ tối thiểu sáu tháng một lần giữa bộ phận Định kỳ hàng quý, bộ phận Hệ thống văn phòng thông báo cho bộ
hoặc hệ thống quản lý nhân sự và bộ phận quản lý cấp phát, thu hồi quyền truy phận Hành chính nhân sự để nhận dữ liệu phục vụ việc rà soát,
cập hệ thống thông tin nhằm bảo đảm tuân thủ khoản 3, khoản 4 Điều này. kiểm tra đối chiếu quyền truy cập hệ thống thông tin.
JIVF đã ban hành quy định về việc bộ phận Hệ thống văn phòng
6. Thông báo cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) các trường chịu trách nhiệm thực hiện thông báo cho Ngân hàng Nhà nước
hợp cá nhân làm việc trong lĩnh vực công nghệ thông tin của tổ chức bị kỷ luật (Cục Công nghệ thông tin) các trường hợp nhân viên bộ phận Hệ
với hình thức sa thải, buộc thôi việc hoặc bị truy tố về các tội quy định tại Mục 2 thống văn phòng bị kỷ luật với hình thức sa thải hoặc bị truy tố
Chương XXI Bộ luật Hình sự (Tội phạm trong lĩnh vực công nghệ thông tin, trước pháp luật về các tội quy định tại Mục 2 Chương XXI Bộ
mạng viễn thông). luật Hình sự (Tội phạm trong lĩnh vực công nghệ thông tin, mạng
viễn thông).
Mục 3 BẢO ĐẢM AN TOÀN VỀ MẶT VẬT LÝ VÀ MÔI TRƯỜNG NƠI
Mục 3
LẮP ĐẶT TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN
Điều 17. Yêu cầu chung đối với nơi lắp đặt trang thiết bị công nghệ thông
Điều 17
tin
Các thiết bị công nghệ thông tin của JIVF được lắp đặt, bảo vệ
1. Bảo vệ bằng tường bao, cổng ra vào hoặc có các biện pháp kiểm soát, hạn chế
bằng tủ chuyên dụng hoặc bảo vệ bằng tường bao, cổng ra vào
rủi ro xâm nhập trái phép.
nhằm hạn chế rủi ro xâm nhập trái phép.
2. Thực hiện các biện pháp phòng chống nguy cơ do cháy nổ, ngập lụt. JIVF đã triển khai thực hiện theo quy định của Thông tư
3. Các khu vực có yêu cầu cao về an toàn, bảo mật như khu vực lắp đặt máy chủ,
JIVF sử dụng dịch vụ thuê ngoài của hệ thống thông tin cấp độ 3,
thiết bị lưu trữ, thiết bị an ninh bảo mật, thiết bị truyền thông của hệ thống thông
nhà cung cấp dịch vụ cho JIVF có thực hiện việc cách ly khu vực
tin từ cấp độ 3 trở lên phải được cách ly với khu vực dùng chung, phân phối,
lắp đặt máy chủ, thiết bị lưu trữ, thiết bị an ninh bảo mật, thiết bị
chuyển hàng; ban hành nội quy, hướng dẫn làm việc và áp dụng biện pháp kiểm
truyền thông với khu vực dùng chung, phân phối, chuyển hàng.
soát ra vào khu vực đó.
Điều 18 Điều 18. Yêu cầu đối với trung tâm dữ liệu
JIVF không tự xây dựng trung tâm dữ liệu. Bộ phận Hệ Thống
Văn Phòng căn cứ vào nhu cầu thực tế, đáp ứng hoạt động kinh
Ngoài việc bảo đảm yêu cầu tại Điều 17 Thông tư này, trung tâm dữ liệu phải doanh của công ty để quyết định chọn thuê hoặc ủy thác quản lý
bảo đảm các yêu cầu sau: trung tâm dữ liệu. Việc chọn thuê trung tâm dữ liệu được đánh
1. Cổng vào ra tòa nhà trung tâm dữ liệu phải có người kiểm soát 24/7. giá đáp ứng đầy đủ theo quy định của thông tư 09/2020/TT-
NHNN .
2. Cửa vào ra trung tâm dữ liệu phải chắc chắn, có khả năng chống cháy, sử dụng
ít nhất hai loại khóa khác nhau và phải có biện pháp bảo vệ và giám sát 24/7.
3. Khu vực lắp đặt thiết bị phải được tránh nắng chiếu rọi trực tiếp, chống thấm
dột nước, tránh ngập lụt. Khu vực lắp đặt thiết bị của hệ thống thông tin từ cấp
độ 3 trở lên phải được bảo vệ, giám sát 24/7.
4. Có tối thiểu một nguồn điện lưới và một nguồn điện máy phát. Có hệ thống
chuyển mạch tự động giữa hai nguồn điện, khi cắt điện lưới máy phát phải tự
động khởi động cấp nguồn. Nguồn điện phải đấu nối qua hệ thống lưu điện để
cấp nguồn cho thiết bị, bảo đảm khả năng duy trì hoạt động liên tục của hệ thống
thông tin.
5. Có hệ thống điều hòa không khí bảo đảm khả năng hoạt động liên tục.
6. Có hệ thống chống sét trực tiếp và lan truyền.
7. Có hệ thống báo cháy và chữa cháy tự động. Hệ thống chữa cháy bảo đảm khi
chữa cháy không làm hư hỏng thiết bị lắp đặt bên trong, trừ trường hợp tổ chức
có hệ thống dự phòng bảo đảm an toàn tuyệt đối cho dữ liệu và có khả năng thay
thế hoàn toàn hệ thống chính trong vòng 01 giờ.
8. Có hệ thống sàn kỹ thuật hoặc lớp cách ly chống nhiễm điện; hệ thống tiếp
địa.
9. Có hệ thống camera giám sát, lưu trữ dữ liệu giám sát tối thiểu 90 ngày.
10. Có hệ thống theo dõi, kiểm soát nhiệt độ, độ ẩm.
11. Có hồ sơ nhật ký kiểm soát vào ra trung tâm dữ liệu.

Điều 19 Điều 19. An toàn tài sản vật lý
1. Tài sản vật lý phải được bố trí, lắp đặt tại các địa điểm an toàn và được bảo vệ
JIVF đã triển khai bố trí, lắp đặt tài sản vật lý tại khu vực an toàn
để giảm thiểu những rủi ro do các đe dọa, hiểm họa từ môi trường và các xâm
theo quy định.
nhập trái phép.
Tài sản vật lý của JIVF thuộc hệ thống thông tin cấp độ 3 được
2. Tài sản vật lý thuộc hệ thống thông tin từ cấp độ 3 trở lên phải được bảo đảm
cấp nguồn thông qua UPS hoặc bảo đảm về nguồn điện và các hệ
về nguồn điện và các hệ thống hỗ trợ khi nguồn điện chính bị gián đoạn. Phải có
thống hỗ trợ khi nguồn điện chính bị gián đoạn. JIVF có thực
biện pháp chống quá tải hay sụt giảm điện áp, chống sét lan truyền; có hệ thống
hiện biện pháp chống quá tải hay sụt giảm điện áp, chống sét lan
tiếp địa; có hệ thống máy phát điện dự phòng và hệ thống lưu điện bảo đảm thiết
truyền; có hệ thống tiếp địa; có hệ thống máy phát điện dự phòng
bị hoạt động liên tục.
và hệ thống lưu điện bảo đảm thiết bị hoạt động liên tục.
3. Dây cáp cung cấp nguồn điện và dây cáp truyền thông sử dụng trong truyền tải
JIVF có thực hiện các biện pháp bảo vệ cáp truyền thông và cáp
dữ liệu hay những dịch vụ hỗ trợ thông tin phải được bảo vệ khỏi sự xâm phạm
điện lực như bọc trong ống nhựa để tránh hư hại hoặc xâm nhập.
hoặc hư hại.
4. Các trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên ngoài trụ sở làm
Các trang thiết bị lắp đặt ngoài trụ sở được JIVF thiết lập cấu
việc của tổ chức phải có biện pháp giám sát, bảo vệ an toàn phòng chống truy
hình chống truy cập bất hợp pháp.
cập bất hợp pháp.
Mục 4 Mục 4 QUẢN LÝ VẬN HÀNH VÀ TRAO ĐỔI THÔNG TIN
Điều 20 Điều 20. Trách nhiệm quản lý và quy trình vận hành của tổ chức
1. Tổ chức ban hành các quy trình, tài liệu vận hành đối với hệ thống thông tin từ
cấp độ 3 trở lên, tối thiểu bao gồm các nội dung: quy trình bật, tắt hệ thống; quy
trình sao lưu, phục hồi dữ liệu; quy trình vận hành ứng dụng; quy trình xử lý sự
Liên quan hệ thống thông tin cấp độ 3, JIVF đã ban hành quy
cố; quy trình giám sát và ghi nhật ký hoạt động của hệ thống. Trong đó phải xác
trình về bật tắt hệ thống, quy trình sao lưu và phục hồi dữ liệu.
định rõ phạm vi, trách nhiệm của người sử dụng, vận hành hệ thống. Định kỳ tối
thiểu mỗi năm một lần, tổ chức thực hiện rà soát, cập nhật, bổ sung các quy trình
vận hành hệ thống thông tin để phù hợp thực tế.
Sau khi quy trình được phê duyệt, JIVF phổ biến quy trình đến
2. Tổ chức triển khai các quy trình đến toàn bộ các đối tượng tham gia vận hành các nhân viên, bộ phận liên quan thông qua hệ thống lưu trữ quy
và giám sát tuân thủ việc thực hiện các quy trình đã ban hành. trình nội bộ; bộ phận kiểm soát nội bộ và kiểm soát nội bộ giám
sát tuân thủ việc thực hiện các quy trình đã ban hành.
3. Môi trường vận hành của hệ thống thông tin từ cấp độ 3 trở lên và các hệ
thống thông tin có xử lý thông tin cá nhân của khách hàng phải đáp ứng yêu cầu:
a) Tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm; Môi trường vận hành của hệ thống thông tin cấp độ 3 và các hệ
b) Áp dụng các giải pháp bảo đảm an toàn thông tin; thống thông tin có xử lý thông tin cá nhân của khách hàng đã đáp
c) Không cài đặt các công cụ, phương tiện phát triển ứng dụng; ứng yêu cầu của Thông tư
d) Loại bỏ hoặc tắt các tính năng, phần mềm tiện ích không sử dụng trên hệ
thống thông tin.
4. Đối với hệ thống thông tin xử lý giao dịch khách hàng phải đáp ứng yêu cầu
sau:
a) Không để một cá nhân được đồng thời thực hiện các công việc khởi tạo và phê
duyệt một giao dịch;
b) Áp dụng xác thực đa yếu tố tại bước phê duyệt cuối cùng khi thực hiện giao Hệ thống thông tin xử lý giao dịch khách hàng đã đáp ứng yêu
dịch tài chính phát sinh chuyển tiền điện tử liên ngân hàng có giá trị từ 100 triệu cầu của Thông tư
đồng trở lên (ngoại trừ hệ thống thanh toán xuyên suốt (Straight Though Process)
đã có biện pháp xác thực tự động giao dịch giữa các hệ thống liên thông);
c) Áp dụng các biện pháp bảo đảm tính toàn vẹn dữ liệu giao dịch;
d) Mọi thao tác trên hệ thống phải được lưu vết, sẵn sàng cho kiểm tra, kiểm soát
khi cần thiết.
Điều 21 Điều 21. Lập kế hoạch và chấp nhận hệ thống thông tin
1. Tổ chức xây dựng tiêu chuẩn, định mức, yêu cầu kỹ thuật để bảo đảm hoạt
động bình thường đối với tất cả các hệ thống thông tin hiện có và các hệ thống JIVF đã triển khai thực hiện theo quy định của Thông tư
thông tin khác trước khi đưa vào áp dụng chính thức.
2. Căn cứ các tiêu chuẩn, định mức, yêu cầu kỹ thuật đã xây dựng, tổ chức giám
JIVF đã triển khai thực hiện theo quy định của Thông tư. Việc
sát, tối ưu hiệu suất của hệ thống thông tin; đánh giá khả năng đáp ứng, tình
đánh giá, giám sát do JIVF tự thực hiện hoặc thuê bên thứ ba thực
trạng hoạt động, cấu hình hệ thống của hệ thống thông tin để dự báo, lập kế
hiện.
hoạch mở rộng, nâng cấp bảo đảm khả năng đáp ứng trong tương lai.
JIVF có thực hiện rà soát, cập nhật tiêu chuẩn, định mức, yêu cầu
3. Tổ chức rà soát, cập nhật tiêu chuẩn, định mức, yêu cầu kỹ thuật khi có sự kỹ thuật khi có sự thay đổi đối với hệ thống thông tin. JIVF tự
thay đổi đối với hệ thống thông tin; thực hiện đào tạo và chuyển giao kỹ thuật đối thực hiện hoặc thuê bên thứ ba thực hiện đào tạo và chuyển giao
với những nội dung thay đổi cho các nhân sự có liên quan. kỹ thuật đối với những nội dung thay đổi cho các nhân sự có liên
quan.
Điều 22 Điều 22. Sao lưu dự phòng

Tổ chức thực hiện sao lưu dự phòng bảo đảm an toàn dữ liệu như sau:
JIVF đã lập danh sách hệ thống thông tin theo cấp độ quan trọng
1. Lập danh sách hệ thống thông tin theo cấp độ quan trọng cần được sao lưu,
cần được sao lưu với các nội dung theo quy định của thông tư
kèm theo thời gian lưu trữ, định kỳ sao lưu, phương pháp sao lưu và thời gian
09/2020/TT-NHNN.
kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.
- Hiện tại, JIVF chỉ có 1 hệ thống thông tin cấp 3 là CARDLINK

và không có hệ thống thông tin ở mức cao hơn. Hệ thống
2. Dữ liệu của các hệ thống thông tin từ cấp độ 3 trở lên phải có phương án tự
CARDLINK được tự động sao lưu và đảm bảo nguyên tắc dữ liệu
động sao lưu phù hợp với tần suất thay đổi của dữ liệu và bảo đảm nguyên tắc dữ
phát sinh được sao lưu trong vòng 24 giờ.
liệu phát sinh phải được sao lưu trong vòng 24 giờ; dữ liệu của các hệ thống
- Đối với các dữ liệu của các hệ thống thông tin còn lại, JIVF đã
thông tin còn lại thực hiện sao lưu định kỳ theo quy định của tổ chức.
có quy định chu kỳ sao lưu cụ thể.
3. Dữ liệu sao lưu của các hệ thống thông tin từ cấp độ 3 trở lên phải được lưu
trữ ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương
tiện lưu trữ khác) và cất giữ, bảo quản an toàn tách rời với khu vực lắp đặt hệ JIVF đã triển khai thực hiện theo quy định này.
thống thông tin nguồn ngay trong ngày làm việc tiếp theo ngày hoàn thành việc
sao lưu.
4. Kiểm tra, phục hồi dữ liệu sao lưu từ phương tiện lưu trữ ngoài theo định kỳ
Hiện tại, JIVF thực hiện kiểm tra, phục hồi dữ liệu sao lưu theo
tối thiểu:
định kỳ 6 tháng 1 lần.
a) Một năm một lần đối với hệ thống thông tin từ cấp độ 3 trở lên;
b) Hai năm một lần với các hệ thống khác.
Điều 23 Điều 23. Quản lý an toàn, bảo mật hệ thống mạng
Tổ chức thực hiện quản lý an toàn, bảo mật hệ thống mạng như sau:
1. Xây dựng quy định về quản lý an toàn, bảo mật hệ thống mạng và quản lý các JIVF có kế hoạch xây dựng quy định này trong năm 2022.
thiết bị đầu cuối của toàn bộ hệ thống mạng.
JIVF đã lập, lưu trữ hồ sơ về sơ đồ logic và vật lý đối với hệ

2. Lập, lưu trữ hồ sơ về sơ đồ logic và vật lý đối với hệ thống mạng, bao gồm cả
thống mạng, bao gồm cả mạng diện rộng (WAN/Intranet) và
mạng diện rộng (WAN/Intranet) và mạng nội bộ (LAN).
mạng nội bộ (LAN).
3. Xây dựng hệ thống mạng của tổ chức đáp ứng yêu cầu tối thiểu sau:
a) Chia tách thành các vùng mạng khác nhau theo đối tượng sử dụng, mục đích
sử dụng và hệ thống thông tin, tối thiểu: (i) Có phân vùng mạng riêng cho máy
chủ ứng dụng và cơ sở dữ liệu của hệ thống thông tin từ cấp độ 3 trở lên; (ii) Có
phân vùng mạng trung gian (DMZ) để cung cấp dịch vụ trên mạng Internet; (iii)
Có phân vùng mạng riêng để cung cấp dịch vụ mạng không dây;
b) Có thiết bị có chức năng tường lửa để kiểm soát các kết nối, truy cập vào ra
các vùng mạng quan trọng; JIVF đã xây dựng hệ thống mạng đáp ứng các yêu cầu của Thông
c) Có thiết bị có chức năng tường lửa và chức năng phát hiện phòng chống xâm tư
nhập để kiểm soát kết nối, truy cập từ mạng không tin cậy vào hệ thống mạng
của tổ chức;
d) Có giải pháp kiểm soát, phát hiện và ngăn chặn kịp thời các kết nối, truy cập
trái phép vào hệ thống mạng nội bộ của tổ chức có hệ thống thông tin từ cấp độ 3
trở lên;
đ) Có phương án cân bằng tải và phương án ứng phó tấn công từ chối dịch vụ đối
với các hệ thống thông tin từ cấp độ 3 trở lên cung cấp dịch vụ trên mạng
Internet.
JIVF đã triển khai thực hiện theo quy định này.

4. Thiết lập, cấu hình các tính năng theo thiết kế của các trang thiết bị an ninh Bộ phận Hệ Thống Văn Phòng tự thực hiện hoặc thuê đơn vị thứ
mạng; thực hiện các biện pháp, giải pháp để dò tìm và phát hiện kịp thời các 3 thực hiện việc kiểm tra, phát hiện những kết nối, trang thiết bị,
điểm yếu, lỗ hổng về mặt kỹ thuật của hệ thống mạng; thường xuyên kiểm tra, phần mềm cài đặt bất hợp pháp vào hệ thống mạng của JIVF, cụ
phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng. thể: định kỳ 3 tháng đối với hệ thống mạng có kết nối internet và
định kỳ 6 tháng đối với hệ thống mạng nội bộ.
Điều 24 Điều 24. Trao đổi thông tin

Khi thực hiện trao đổi thông tin với khách hàng và bên thứ ba, tổ chức có trách
nhiệm sau:
1. Ban hành quy định về trao đổi thông tin tối thiểu gồm: loại thông tin trao đổi; JIVF đã ban hành quy định về trao đổi, xử lý và trao đổi văn bản
quyền và trách nhiệm của cá nhân khi tiếp cận thông tin; phương tiện trao đổi điện tử.
thông tin; biện pháp bảo đảm tính toàn vẹn, bảo mật khi truyền nhận, xử lý, lưu
trữ thông tin; chế độ bảo quản thông tin.
2. Khi trao đổi thông tin cá nhân, thông tin nội bộ và thông tin bí mật với bên
ngoài, tổ chức phải có văn bản thỏa thuận, xác định trách nhiệm và nghĩa vụ của JIVF đã triển khai thực hiện theo quy định của Thông tư.
các bên tham gia trong việc sử dụng, bảo đảm an toàn thông tin.
3. Các thông tin bí mật phải được mã hóa hoặc áp dụng các biện pháp bảo mật
thông tin trước khi trao đổi. Đối với hệ thống thông tin cấp độ 5, tổ chức phải sử JIVF không có hệ thống thông tin cấp độc 5. Các thông tin bí mật
dụng kết nối mạng an toàn và các thiết bị, phương tiện chuyên dụng để mã hoá, của JIVF được bảo mật bằng mật khẩu trước khi trao đổi.
giải mã thông tin bí mật và khi trao đổi thông tin.
4. Thực hiện biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi thông
JIVF đã triển khai thực hiện theo quy định của Thông tư
tin nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp.
JIVF có thực hiện các biện pháp để quản lý, giám sát và kiểm
5. Thực hiện các biện pháp quản lý, giám sát và kiểm soát chặt chẽ các trang soát chặt chẽ trang thông tin điện tử: dò quét lỗ hỗng định kỳ,
thông tin điện tử cung cấp thông tin, dịch vụ, giao dịch trực tuyến cho khách thông tin trước khi đăng tải phải qua kiểm duyệt nội dung từ bộ
hàng. phận kiểm soát nội bộ, sau đó bộ phận Hệ thống văn phòng thực
hiện thao tác đăng tải nội dung lên trang web.
Điều 25 Điều 25. Quản lý hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến
1. Hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng phải tuân thủ
tiêu chuẩn TCVN 11930:2017 (tiêu chuẩn Công nghệ thông tin - Các kỹ thuật an
toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ) và các yêu cầu
sau:
a) Bảo đảm tính toàn vẹn của dữ liệu trao đổi với khách hàng trong giao dịch trực
tuyến;
JIVF không cung cấp dịch vụ giao dịch trực tuyến cho khách
b) Dữ liệu trên đường truyền phải bảo đảm tính bí mật và phải được truyền đầy
hàng nên không thuộc trường hợp cần triển khai thực hiện quy
đủ, đúng địa chỉ và có biện pháp bảo vệ để phát hiện các thay đổi hoặc sao chép
định này
trái phép;
c) Đánh giá cấp độ rủi ro trong giao dịch trực tuyến theo đối tượng khách hàng,
loại giao dịch, hạn mức giao dịch để cung cấp giải pháp xác thực giao dịch phù
hợp theo quy định của Ngân hàng Nhà nước;
d) Trang thông tin điện tử giao dịch trực tuyến phải được áp dụng các biện pháp
chứng thực chống giả mạo và ngăn chặn, chống sửa đổi trái phép.
2. Hệ thống dịch vụ giao dịch trực tuyến phải được áp dụng các biện pháp để
giám sát chặt chẽ và phát hiện, cảnh báo về:
a) Giao dịch đáng ngờ dựa vào các tiêu chí tối thiểu gồm: thời gian giao dịch, địa
điểm giao dịch (vị trí địa lý, địa chỉ IP mạng), tần suất giao dịch, số tiền giao
dịch, số lần xác thực sai quy định;
định này
b) Hoạt động bất thường của hệ thống;
c) Các cuộc tấn công từ chối dịch vụ (DoS - Denial of Service attack), tấn công
từ chối dịch vụ phân tán (DdoS - Distributed Denial of Service attack).
3. Tổ chức hướng dẫn các biện pháp bảo đảm an toàn thông tin và cảnh báo rủi JIVF không cung cấp dịch vụ giao dịch trực tuyến cho khách
ro cho khách hàng trước khi tham gia sử dụng dịch vụ giao dịch trực tuyến và hàng nên không thuộc trường hợp cần triển khai thực hiện quy
theo định kỳ. định này
4. Khi cung cấp phần mềm ứng dụng giao dịch trực tuyến trên Internet, tổ chức
phải áp dụng các biện pháp bảo đảm tính toàn vẹn của phần mềm.
định này
Điều 26 Điều 26. Giám sát và ghi nhật ký hoạt động của hệ thống thông tin
Tổ chức thực hiện giám sát và ghi nhật ký hoạt động của hệ thống thông tin từ
cấp độ 2 trở lên như sau:
1. Ghi và lưu trữ nhật ký về hoạt động của hệ thống thông tin và người sử dụng,
các lỗi phát sinh, các sự cố an toàn thông tin nếu hệ thống hỗ trợ, tối thiểu bao
gồm:
a) Thông tin kết nối mạng (firewall log);
JIVF có thực hiện giám sát và ghi nhật ký hoạt động của hệ thống
b) Thông tin đăng nhập;
thông tin từ cấp độ 2 trở lên.
c) Thông tin thay đổi cấu hình;
d) Thông tin truy cập dữ liệu và dịch vụ quan trọng (nếu có);
đ) Thông tin các lỗi phát sinh trong quá trình hoạt động;
e) Thông tin cảnh báo từ các thiết bị;
g) Thông tin hiệu năng hoạt động của thiết bị (đối với hệ thống thông tin từ cấp
độ 3 trở lên).
2. Dữ liệu nhật ký của các hệ thống thông tin cấp độ 2 phải được lưu trực tuyến
tối thiểu 1 tháng và sao lưu tối thiểu 6 tháng. Dữ liệu nhật ký của các hệ thống
thông tin từ cấp độ 3 trở lên phải được lưu trực tuyến tối thiểu 3 tháng theo hình
thức tập trung và sao lưu tối thiểu một năm.
3. Có phương án giám sát, cảnh báo khi có thay đổi thông tin bí mật lưu trên hệ JIVF không có hệ thống thông tin từ cấp độ 4 trở lên nên không
thống lưu trữ/phương tiện lưu trữ của các hệ thống thông tin từ cấp độ 4 trở lên. thuộc trường hợp cần triển khai thực hiện quy định này
4. Bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo, thay
Các hệ thống sử dụng tại JIVF đã được thiết kế để đáp ứng các
đổi và truy cập trái phép; bảo đảm người quản trị hệ thống và người sử dụng
yêu cầu theo quy định này.
không thể xóa hay sửa đổi nhật ký hệ thống ghi lại các hoạt động của chính họ.
Các hệ thống sử dụng tại JIVF đã được thiết kế để đáp ứng quy
5. Thực hiện việc đồng bộ thời gian giữa các hệ thống thông tin.
định này.
Điều 27 Điều 27. Phòng chống mã độc
Tổ chức xây dựng và thực hiện quy định về phòng chống mã độc như sau: JIVF đã ban hành Quy định quản lý truy cập internet, trong đó có
1. Xác định trách nhiệm của cá nhân và các bộ phận liên quan trong công tác quy định trách nhiệm của cá nhân và các bộ phận liên quan trong
phòng chống mã độc. công tác phòng chống mã độc.
JIVF đã triển khai các biện pháp, giải pháp phòng chống mã độc
2. Triển khai biện pháp, giải pháp phòng chống mã độc cho toàn bộ hệ thống
cho toàn bộ hệ thống thông tin của JIVF theo Quy định nội bộ
thông tin của tổ chức.
của JIVF ''quy định quản lý truy cập internet".
3. Cập nhật thường xuyên mẫu mã độc và phần mềm phòng chống mã độc mới: JIVF thiết lập chế độ cập nhật tự động phần mềm phòng chống
thiết lập cập nhật tự động hoặc theo lịch định kỳ hàng ngày. mã độc.
Người dùng chủ động kiểm tra, quét mã độc đối với vật mang tin
4. Kiểm tra, diệt mã độc đối với vật mang tin trước khi sử dụng. bằng phần mềm diệt mã độc được cài đặt trên máy tính, máy tính
xách tay trước khi sử dụng
Bộ phận Hệ thống văn phòng chịu trách nhiệm kiểm soát việc cài
5. Kiểm soát việc cài đặt phần mềm bảo đảm tuân thủ theo quy chế an toàn thông
đặt phần mềm bảo đảm tuân thủ theo quy chế an toàn thông tin
tin của tổ chức.
của JIVF.
Việc kiểm soát thư điện tử lạ, các tệp tin đính kèm hoặc các liên
6. Kiểm soát thư điện tử lạ, các tệp tin đính kèm hoặc các liên kết trong các thư
kết trong các thư điện tử lạ được thiết lập kiểm tra tự động trên
lạ.
máy chủ thư điện tử.
Mục 5 Mục 5 QUẢN LÝ TRUY CẬP

Điều 28 Điều 28. Yêu cầu đối với kiểm soát truy cập
1. Tổ chức quy định về quản lý truy cập đối với người sử dụng, nhóm người sử
dụng, các thiết bị, công cụ sử dụng để truy cập hệ thống thông tin bảo đảm đáp
ứng yêu cầu nghiệp vụ và yêu cầu an toàn thông tin, bao gồm các nội dung cơ
bản sau:
a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập của người sử dụng;
b) Mỗi tài khoản truy cập hệ thống phải được gán cho một người sử dụng duy
nhất; trường hợp chia sẻ tài khoản dùng chung để truy cập hệ thống thông tin thì
phải được phê duyệt bởi cấp có thẩm quyền và xác định được trách nhiệm cá
nhân tại mỗi thời điểm sử dụng;
c) Đối với tài khoản để các ứng dụng, dịch vụ kết nối tự động, phải được giao
cho một cá nhân quản lý và được giới hạn quyền truy cập theo mục đích sử dụng;
cá nhân được giao quản lý không được phép sử dụng tài khoản này cho các mục
đích khác;
JIVF đã ban hành và triển khai thực hiện Quy định quản lý truy
d) Đối với hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử
cập với các quy định chi tiết theo Thông tư.
lý thông tin cá nhân của khách hàng phải giới hạn và kiểm soát các truy cập sử
dụng tài khoản có quyền quản trị: (i) Thiết lập cơ chế kiểm soát việc tạo tài
khoản có quyền quản trị để bảo đảm không một tài khoản nào sử dụng được khi
chưa được cấp có thẩm quyền phê duyệt; (ii) Phải có biện pháp giám sát việc sử
dụng tài khoản có quyền quản trị; (iii) Việc sử dụng tài khoản có quyền quản trị
phải được giới hạn trong khoảng thời gian đủ để thực hiện công việc và phải
được thu hồi ngay sau khi kết thúc công việc; (iv) Việc kết nối quản trị hệ thống
phải qua các máy chủ trung gian hoặc các hệ thống quản trị tập trung, không thực
hiện trực tiếp từ máy trạm của người quản trị;
đ) Quản lý, cấp phát mã khóa bí mật truy cập hệ thống thông tin;
e) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng;
g) Yêu cầu, điều kiện an toàn thông tin đối với các thiết bị, công cụ sử dụng để
truy cập.
2. Tổ chức xây dựng quy định về quản lý mã khóa bí mật đáp ứng các yêu cầu
sau:
a) Mã khóa bí mật phải có độ dài từ sáu ký tự trở lên, cấu tạo gồm các ký tự số,
chữ hoa, chữ thường và các ký tự đặc biệt khác nếu hệ thống cho phép; các yêu
cầu mã khóa bí mật hợp lệ phải được kiểm tra tự động khi thiết lập mã khóa bí
mật;
b) Các mã khóa bí mật mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết
bị, phần mềm, cơ sở dữ liệu phải được thay đổi trước khi đưa vào sử dụng; JIVF đã ban hành và triển khai thực hiện Quy định quản lý truy
c) Phần mềm quản lý mã khóa bí mật phải có các chức năng: (i) Yêu cầu thay đổi cập với các quy định chi tiết theo Thông tư.
mã khóa bí mật lần đầu đăng nhập (không áp dụng với mã khóa bí mật sử dụng
một lần); (ii) thông báo người sử dụng thay đổi mã khóa bí mật sắp hết hạn sử
dụng; (iii) huỷ hiệu lực của mã khóa bí mật hết hạn sử dụng; (iv) hủy hiệu lực
của mã khóa bí mật khi người sử dụng nhập sai quá số lần cho phép; (v) cho
phép thay đổi ngay mã khóa bí mật bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của
người sử dụng; (vi) ngăn chặn việc sử dụng lại mã khóa bí mật cũ trong một
khoảng thời gian nhất định.
3. Tổ chức xây dựng quy định về trách nhiệm của người sử dụng khi được cấp
quyền truy cập bao gồm các nội dung: sử dụng mã khóa bí mật đúng quy định; JIVF đã ban hành và triển khai thực hiện Quy định quản lý truy
giữ bí mật mã khóa bí mật; sử dụng thiết bị, công cụ để truy cập; thoát khỏi hệ cập với các quy định chi tiết theo Thông tư.
thống khi không làm việc hoặc tạm thời không làm việc trên hệ thống.
Điều 29 Điều 29. Quản lý truy cập mạng nội bộ
Tổ chức xây dựng và triển khai các chính sách quản lý truy cập mạng nội bộ đáp
ứng các yêu cầu sau:
1. Xây dựng và triển khai quy định quản lý truy cập mạng và các dịch vụ mạng
gồm các nội dung cơ bản sau:
cập mạng nội bộ theo các yêu cầu của Thông tư. Hiện tại, JIVF
a) Các mạng và dịch vụ mạng được phép sử dụng, cách thức, phương tiện và các
đang trong quá trình cập nhật lại quy định nội bộ này, dự kiến sẽ
điều kiện an toàn thông tin để truy cập;
ban hành trong năm 2022.
b) Trách nhiệm của người quản trị, người truy cập;
c) Thủ tục cấp phát, thay đổi, thu hồi quyền kết nối;
d) Kiểm soát việc quản trị, truy cập, sử dụng mạng.
- JIVF thực hiện tách riêng (có thể về mặt vật lý hoặc logic) giữa
2. Thực hiện các biện pháp kiểm soát chặt chẽ các kết nối từ mạng không tin cậy mạng nội bộ JIVF và mạng Internet
vào mạng nội bộ của tổ chức bảo đảm an toàn thông tin. - Tất cả các kết nối từ bên ngoài vào mạng nội bộ JIVF phải
thông qua tường lửa.
JIVF đã triển khai thực hiện theo quy định của Thông tư, các cấp
3. Kiểm soát việc cài đặt, sử dụng các công cụ phần mềm hỗ trợ truy cập từ xa.
có thẩm quyền của JIVF phê duyệt trước khi cài đặt và sử dụng.
Kiểm soát chặt chẽ các cổng cho phép truy cập từ xa để thực hiện
cấu hình mạng nội bộ. Việc quản trị cấu hình thiết bị mạng nội bộ
do nhân viên chuyên trách của bộ phận Hệ thống văn phòng thực
hiện. Cho phép ủy thác cho bên thứ ba thực hiện khi cần thiết, khi
4. Kiểm soát truy cập các cổng dùng để cấu hình và quản trị thiết bị mạng.
bên thứ ba thực hiện bắt buộc phải có sự giám sát của nhân viên
chuyên trách của bộ phận Hệ thống văn phòng. Việc truy cập,
thay đổi cấu hình phải được Trưởng bộ phận Hệ thống văn phòng
phê duyệt trước khi thực hiện.
5. Cấp quyền truy cập mạng và dịch vụ mạng phải bảo đảm nguyên tắc quyền JIVF đã triển khai thực hiện theo quy định của Thông tư, các cấp
vừa đủ để thực hiện nhiệm vụ được giao. có thẩm quyền của JIVF phê duyệt trước khi cấp quyền truy cập.
6. Kết nối từ mạng Internet vào mạng nội bộ của tổ chức để phục vụ công việc JIVF đã triển khai thực hiện theo quy định của Thông tư, sử dụng
phải sử dụng mạng riêng ảo và xác thực đa thành tố. mạng riêng ảo VPN.
Điều 30 Điều 30. Quản lý truy cập hệ thống thông tin và ứng dụng
JIVF đã triển khai thực hiện theo quy định của Thông tư. Các
phần mềm tiện ích cài đặt trên máy tính xách tay kiểm soát thông
Tổ chức xây dựng và triển khai việc quản lý truy cập đáp ứng yêu cầu sau:
qua hệ thống quản lý thiết bị di động (Mobile Device
1. Kiểm soát những phần mềm tiện ích có khả năng ảnh hưởng đến hệ thống
Management). Các phần mềm tiện ích trên máy tính (PC) được
thông tin.
kiểm soát thông qua danh sách các phần mềm được phép cài đặt
(check list).
2. Quy định thời gian truy cập vào ứng dụng tương ứng với thời gian hoạt động
nghiệp vụ và dịch vụ mà ứng dụng cung cấp. Tự động ngắt phiên làm việc của
người sử dụng sau một thời gian không sử dụng nhằm ngăn chặn sự truy cập trái
phép.
Dữ liệu lưu trữ trên File server được phân quyền truy cập theo
từng bộ phận, phòng ban.
Dữ liệu trên hệ thống thông tin của JIVF được phân quyền truy
3. Quản lý và phân quyền truy cập thông tin và ứng dụng bảo đảm nguyên tắc cập vào các chức năng của chương trình theo vai trò thực hiện
cấp quyền vừa đủ để thực hiện nhiệm vụ được giao của người sử dụng: công việc của từng nhân viên.
a) Phân quyền truy cập đến từng thư mục, chức năng của chương trình; Quyền truy cập bao gồm các quyền đọc, ghi, xóa, thực thi đối với
b) Phân quyền đọc, ghi, xóa, thực thi đối với thông tin, dữ liệu, chương trình. thông tin, dữ liệu, chương trình.
Quyền truy cập của nhân viên phải được Giám đốc điều hành bộ
phận liên quan và các cấp có thẩm quyền của bộ phận Hệ thống
văn phòng phê duyệt.
Các hệ thống thông tin sử dụng chung nguồn tài nguyên phải
4. Các hệ thống thông tin sử dụng chung nguồn tài nguyên phải được cấp có
được Giám đốc điều hành bộ phận Hệ thống văn phòng phê
thẩm quyền phê duyệt.
duyệt.
Đối với máy chủ thuộc hệ thống thông tin từ cấp độ 3 trở lên và
các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng
5. Đối với máy chủ thuộc hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống
phải đặt trong môi trường mạng máy tính riêng, không kết nối với
thông tin có xử lý thông tin cá nhân của khách hàng phải sử dụng giao thức kết
môi trường internet và có phương án chống đăng nhập tự động:
nối an toàn và có phương án chống đăng nhập tự động.
luôn xác thực tài khoản người dùng khi truy cập và không sử
dụng tính năng ghi nhớ mật khẩu đăng nhập.
6. Đối với các hệ thống thông tin từ cấp độ 4 trở lên phải áp dụng xác thực đa
Hiện tại JIVF không có hệ thống thông tin từ cấp độ 4 trở lên nên
yếu tố khi truy cập quản trị các máy chủ, ứng dụng và các thiết bị mạng, an ninh
không áp dụng quy định này.
mạng quan trọng.
Điều 31 Điều 31. Quản lý kết nối Internet
Tổ chức quy định và triển khai việc quản lý kết nối Internet đáp ứng yêu cầu sau:
1. Quy định quản lý kết nối, truy cập sử dụng Internet gồm các nội dung cơ bản
sau:
a) Trách nhiệm cá nhân và các bộ phận có liên quan trong khai thác sử dụng
Internet;
cập internet theo Thông tư.
b) Đối tượng được phép truy cập, kết nối sử dụng Internet;
c) Các hành vi bị cấm, hạn chế;
d) Kiểm soát kết nối, truy cập sử dụng Internet;
đ) Các biện pháp bảo đảm an toàn thông tin khi kết nối Internet.
2. Thực hiện quản lý tập trung, thống nhất các cổng kết nối Internet trong toàn bộ
tổ chức.
JIVF đã xây dựng tường lửa tại các cổng kết nối Internet để bảo
3. Triển khai các giải pháp an ninh mạng tại các cổng kết nối Internet để bảo đảm
đảm an toàn trước các hiểm họa tấn công từ Internet vào mạng
an toàn trước các hiểm họa tấn công từ Internet vào mạng nội bộ của tổ chức.
nội bộ
4. Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng và
JIVF đã triển khai thực hiện theo quy định của Thông tư.
các tấn công, truy cập bất hợp pháp vào hệ thống mạng nội bộ của tổ chức thông
qua cổng kết nối Internet.
Mục 6 QUẢN LÝ SỬ DỤNG DỊCH VỤ CÔNG NGHỆ THÔNG TIN CỦA

Mục 6 BÊN THỨ BA
Điều 32 Điều 32. Các nguyên tắc chung về sử dụng dịch vụ của bên thứ ba
Khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba, tổ chức bảo đảm các
nguyên tắc sau đây:
1. Không làm suy giảm khả năng cung cấp dịch vụ liên tục của tổ chức cho
khách hàng.
2. Không làm suy giảm việc kiểm soát quy trình nghiệp vụ của tổ chức. JIVF đã triển khai thực hiện theo quy định của Thông tư
3. Không làm thay đổi trách nhiệm của tổ chức trong việc bảo đảm an toàn thông
tin.
4. Dịch vụ công nghệ thông tin của bên thứ ba phải đáp ứng các quy định về bảo
đảm an toàn thông tin của tổ chức.
Điều 33 Điều 33. Các yêu cầu khi sử dụng dịch vụ của bên thứ ba
Trước khi sử dụng dịch vụ của bên thứ ba triển khai cho các hệ thống thông tin
từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách
hàng, tổ chức thực hiện:
1. Đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động tối thiểu bao gồm các nội
dung sau:
a) Nhận diện rủi ro, phân tích, ước lượng cấp độ tổn hại, mối đe dọa đến an toàn
thông tin;
b) Khả năng kiểm soát các quy trình nghiệp vụ, khả năng cung cấp dịch vụ liên
tục, khả năng thực hiện nghĩa vụ cung cấp thông tin cho các cơ quan nhà nước;
c) Xác định rõ vai trò, trách nhiệm của các bên liên quan trong việc bảo đảm chất
lượng dịch vụ;
d) Xây dựng các biện pháp nhằm giảm thiểu rủi ro, biện pháp phòng ngừa, ứng
cứu, khắc phục sự cố;
đ) Rà soát và điều chỉnh chính sách quản lý rủi ro (nếu có).
2. Trong trường hợp sử dụng dịch vụ điện toán đám mây, ngoài các yêu cầu tại
khoản 1 Điều này, tổ chức thực hiện:
a) Phân loại hoạt động, nghiệp vụ dự kiến triển khai trên điện toán đám mây dựa
trên đánh giá tác động của hoạt động, nghiệp vụ đó với hoạt động của tổ chức;
b) Xây dựng phương án dự phòng đối với các cấu phần của hệ thống thông tin từ
cấp độ 3 trở lên. Phương án dự phòng phải được kiểm thử và đánh giá sẵn sàng
thay thế cho các hoạt động, nghiệp vụ triển khai trên điện toán đám mây;
c) Xây dựng các tiêu chí lựa chọn bên thứ ba đáp ứng yêu cầu quy định tại Điều
34 Thông tư này;
d) Rà soát, bổ sung, áp dụng các biện pháp bảo đảm an toàn thông tin của tổ
chức, giới hạn truy cập từ điện toán đám mây đến các hệ thống thông tin của tổ
chức.
3. Trường hợp thuê bên thứ ba thực hiện toàn bộ công việc quản trị hệ thống
thông tin từ cấp độ 3 trở lên và các hệ thống thông tin xử lý thông tin khách
hàng, tổ chức thực hiện đánh giá rủi ro theo quy định tại khoản 1 Điều này và gửi
báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước (Cục Công nghệ thông tin).
Điều 34 Điều 34. Tiêu chí lựa chọn bên thứ ba cung cấp dịch vụ điện toán đám mây
Tiêu chí lựa chọn bên thứ ba bao gồm các nội dung tối thiểu sau:
1. Bên thứ ba phải là doanh nghiệp.
2. Có hạ tầng công nghệ thông tin tương ứng với dịch vụ mà tổ chức sử dụng đáp
ứng các yêu cầu sau:
a) Các quy định của pháp luật Việt Nam;
b) Có chứng nhận quốc tế còn hiệu lực về bảo đảm an toàn thông tin.
Điều 35 Điều 35. Hợp đồng sử dụng dịch vụ với bên thứ ba
Hợp đồng sử dụng dịch vụ ký kết với bên thứ ba triển khai cho các hệ thống
thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân
của khách hàng phải có tối thiểu những nội dung sau:
1. Cam kết của bên thứ ba về bảo đảm an toàn thông tin bao gồm:
a) Không sao chép, thay đổi, sử dụng hay cung cấp dữ liệu của tổ chức sử dụng
dịch vụ cho cá nhân, tổ chức khác, trừ trường hợp có yêu cầu của cơ quan nhà
nước có thẩm quyền theo quy định của pháp luật; trong trường hợp này, bên thứ JIVF đã triển khai thực hiện theo quy định của Thông tư
ba phải thông báo cho tổ chức sử dụng dịch vụ trước khi cung cấp dữ liệu, trừ
khi việc thông báo sẽ vi phạm pháp luật Việt Nam;
b) Phổ biến cho nhân sự của bên thứ ba tham gia thực hiện hợp đồng các quy
định về bảo đảm an toàn thông tin của tổ chức, thực hiện các biện pháp giám sát
bảo đảm tuân thủ.
2. Quy định cụ thể thời gian tối đa có thể gián đoạn dịch vụ và thời gian khắc
phục sự cố, các yêu cầu liên quan đến bảo đảm hoạt động liên tục (dự phòng tại
chỗ, sao lưu dữ liệu, dự phòng thảm họa), các yêu cầu liên quan đến năng lực xử JIVF đã triển khai thực hiện theo quy định của Thông tư
lý, tính toán, lưu trữ, các biện pháp thực hiện khi chất lượng dịch vụ không được
bảo đảm.
3. Trường hợp bên thứ ba sử dụng nhà thầu phụ không làm thay đổi trách nhiệm
của bên thứ ba đối với dịch vụ mà tổ chức sử dụng.
4. Dữ liệu phát sinh trong quá trình sử dụng dịch vụ là tài sản của tổ chức. Khi
chấm dứt sử dụng dịch vụ:
a) Bên thứ ba thực hiện trả lại toàn bộ dữ liệu triển khai và dữ liệu phát sinh
trong quá trình sử dụng dịch vụ;
b) Bên thứ ba cam kết hoàn thành việc xoá toàn bộ dữ liệu của tổ chức trong một
khoảng thời gian xác định.
5. Bên thứ ba phải thông báo cho tổ chức khi phát hiện nhân sự vi phạm quy định
về an toàn thông tin đối với dịch vụ mà tổ chức sử dụng.
6. Hợp đồng sử dụng dịch vụ điện toán đám mây, ngoài các nội dung quy định
tại các khoản 1, 2, 3, 4, 5 Điều này, phải bổ sung thêm những nội dung sau:
a) Bên thứ ba phải cung cấp báo cáo kiểm toán tuân thủ công nghệ thông tin do
tổ chức kiểm toán độc lập thực hiện hàng năm trong thời gian thực hiện hợp
đồng;
b) Bên thứ ba phải cung cấp: công cụ kiểm soát chất lượng dịch vụ đám mây;
quy trình giám sát, kiểm soát chất lượng dịch vụ đám mây;
c) Bên thứ ba phải minh bạch các vị trí (thành phố, quốc gia) đặt trung tâm dữ JIVF đã triển khai thực hiện theo quy định của Thông tư
liệu bên ngoài lãnh thổ Việt Nam triển khai dịch vụ cho tổ chức;
d) Trách nhiệm bảo vệ dữ liệu, chống truy cập dữ liệu trái phép trên kênh phân
phối dịch vụ từ bên thứ ba đến tổ chức;
đ) Bên thứ ba phải hỗ trợ, hợp tác điều tra trong trường hợp có yêu cầu từ các cơ
quan nhà nước có thẩm quyền của Việt Nam theo quy định của pháp luật;
e) Dữ liệu của tổ chức phải được tách biệt với dữ liệu của khách hàng khác sử
dụng trên cùng nền tảng kỹ thuật do bên thứ ba cung cấp.
Điều 36. Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên
Điều 36
thứ ba
1. Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định về an toàn
thông tin của tổ chức.
2. Có quy trình và bố trí nguồn lực để giám sát, kiểm soát các dịch vụ do bên thứ
JIVF có thực hiện bố trí nhân sự giám sát, kiểm soát các dịch vụ
ba cung cấp bảo đảm chất lượng dịch vụ theo thỏa thuận đã ký kết. Đối với dịch
do bên thứ ba cung cấp bao gồm cả dịch vụ điện toán đám mây.
vụ điện toán đám mây, phải giám sát, kiểm soát chất lượng dịch vụ.
3. Áp dụng các quy định về an toàn thông tin của tổ chức đối với trang thiết bị,
dịch vụ do bên thứ ba cung cấp được triển khai trên hạ tầng do tổ chức quản lý, JIVF đã triển khai thực hiện theo quy định của Thông tư
sử dụng.
4. Quản lý các thay đổi đối với dịch vụ do bên thứ ba cung cấp bao gồm: thay đổi
nhà cung cấp, thay đổi giải pháp, thay đổi phiên bản, thay đổi các nội dung quy
định tại Điều 41 Thông tư này; đánh giá đầy đủ tác động của việc thay đổi, bảo
đảm an toàn khi được đưa vào sử dụng.
5. Áp dụng các biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên
thứ ba khi cho phép bên thứ ba truy cập vào hệ thống thông tin của tổ chức.
6. Giám sát nhân sự của bên thứ ba trong quá trình thực hiện hợp đồng. Trường
hợp phát hiện nhân sự bên thứ ba vi phạm quy định về an toàn thông tin phải JIVF đã triển khai thực hiện theo quy định của Thông tư
thông báo và phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời.
7. Thu hồi quyền truy cập hệ thống thông tin đã được cấp cho bên thứ ba, thay
đổi các khoá, mã khóa bí mật nhận bàn giao từ bên thứ ba ngay sau khi hoàn JIVF đã triển khai thực hiện theo quy định của Thông tư
thành công việc hoặc kết thúc hợp đồng.
8. Đối với hệ thống thông tin từ cấp độ 3 trở lên, các hệ thống thông tin xử lý
thông tin khách hàng hoặc hệ thống thông tin sử dụng dịch vụ điện toán đám
mây, phải đánh giá sự tuân thủ các quy định về bảo đảm an toàn thông tin của
bên thứ ba theo đúng thỏa thuận đã ký kết. Thực hiện đánh giá sự tuân thủ định
kỳ hàng năm hoặc đột xuất khi có nhu cầu. Việc đánh giá tuân thủ có thể sử dụng
kết quả kiểm toán công nghệ thông tin của tổ chức kiểm toán độc lập.
Mục 7 QUẢN LÝ TIẾP NHẬN, PHÁT TRIỂN, DUY TRÌ HỆ THỐNG

Mục 7
THÔNG TIN
Điều 37 Điều 37. Yêu cầu về an toàn, bảo mật các hệ thống thông tin
Khi xây dựng mới hoặc nâng cấp hệ thống thông tin do tổ chức quản lý trực tiếp,
tổ chức phải thực hiện phân loại hệ thống thông tin theo cấp độ quy định tại Điều
5 Thông tư này. Đối với hệ thống thông tin từ cấp độ 2 trở lên, tổ chức thực hiện:
1. Xây dựng tài liệu thiết kế, mô tả về các phương án bảo đảm an toàn hệ thống
thông tin. Trong đó các yêu cầu về an toàn, bảo mật được xây dựng đồng thời với
việc xây dựng các yêu cầu kỹ thuật, nghiệp vụ.
2. Xây dựng phương án kiểm tra, xác minh hệ thống được triển khai tuân thủ
theo đúng tài liệu thiết kế và yêu cầu bảo đảm an toàn thông tin trước khi nghiệm
thu. Kết quả kiểm tra phải lập thành báo cáo và được cấp có thẩm quyền phê
duyệt trước khi đưa vào vận hành chính thức.
3. Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài theo quy định
tại Điều 36 Thông tư này.
Điều 38 Điều 38. Bảo đảm an toàn, bảo mật ứng dụng
Các chương trình ứng dụng nghiệp vụ phải đáp ứng các yêu cầu tối thiểu sau:
1. Kiểm tra tính hợp lệ của dữ liệu nhập vào các ứng dụng, bảo đảm dữ liệu được JIVF đã triển khai thực hiện theo quy định của Thông tư
nhập vào chính xác và hợp lệ.
2. Kiểm tra tính hợp lệ của dữ liệu cần được xử lý tự động trong các ứng dụng
nhằm phát hiện thông tin sai lệch do các lỗi trong quá trình xử lý hoặc các hành JIVF đã triển khai thực hiện theo quy định của Thông tư
vi sửa đổi thông tin có chủ ý.
3. Có các biện pháp bảo đảm tính xác thực và bảo vệ sự toàn vẹn của dữ liệu
được xử lý trong các ứng dụng.
4. Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng dụng, bảo đảm quá trình xử
lý thông tin của các ứng dụng là chính xác và hợp lệ.
5. Mã khóa bí mật của người sử dụng trong các hệ thống thông tin từ cấp độ 2 trở
lên phải được mã hóa ở lớp ứng dụng.
Điều 39 Điều 39. Quản lý mã hóa
Tổ chức quản lý mã hóa như sau:
1. Quy định và đưa vào sử dụng các biện pháp mã hóa theo quy chuẩn kỹ thuật
quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng hoặc tiêu chuẩn
quốc tế đã được công nhận.
2. Có biện pháp quản lý khóa mã hóa để bảo vệ thông tin của tổ chức. JIVF đã triển khai thực hiện theo quy định của Thông tư
Điều 40 Điều 40. An toàn, bảo mật trong quá trình phát triển phần mềm
1. Tổ chức thực hiện quản lý quá trình phát triển phần mềm như sau:
a) Quản lý, kiểm soát mã nguồn. Việc truy cập, tiếp cận mã nguồn phải được sự
phê duyệt của cấp có thẩm quyền;
b) Quản lý, bảo vệ tệp tin cấu hình hệ thống; JIVF đã triển khai thực hiện theo quy định của Thông tư
c) Yêu cầu bên thứ ba cung cấp mã nguồn phần mềm đối với các phần mềm thuê
ngoài gia công (outsourced software) của các hệ thống thông tin từ cấp độ 2 trở
lên.
2. Tổ chức lựa chọn, kiểm soát đối với dữ liệu kiểm tra, thử nghiệm. Không sử
dụng dữ liệu thật của hệ thống thông tin vận hành chính thức cho hoạt động kiểm
thử khi chưa thực hiện các biện pháp che giấu hoặc thay đổi đối với dữ liệu chứa
thông tin khách hàng và thông tin bí mật.
Điều 41 Điều 41. Quản lý sự thay đổi hệ thống thông tin
Tổ chức ban hành quy trình, biện pháp quản lý và kiểm soát sự thay đổi hệ thống
thông tin, tối thiểu bao gồm:
1. Thực hiện ghi chép lại các thay đổi; lập kế hoạch thay đổi; thực hiện kiểm tra,
thử nghiệm sự thay đổi, báo cáo kết quả; phê duyệt kế hoạch thay đổi trước khi JIVF đang triển khai ban hành quy trình quản lý sự thay đổi hệ
áp dụng chính thức thay đổi phiên bản phần mềm, cấu hình phần cứng, tham số thống thông tin
phần mềm hệ thống, quy trình vận hành. Có phương án dự phòng cho việc phục
hồi hệ thống trong trường hợp thực hiện thay đổi không thành công hoặc gặp các
sự cố không có khả năng dự tính trước.
2. Kiểm tra, đánh giá tác động để bảo đảm hệ thống thông tin hoạt động ổn định,
an toàn trên môi trường mới đối với hệ thống thông tin từ cấp độ 3 trở lên khi
thay đổi phiên bản hoặc thay đổi hệ điều hành, hệ quản trị cơ sở dữ liệu, phần
mềm lớp giữa.
Điều 42 Điều 42. Kiểm tra, đánh giá an toàn thông tin
1. Nội dung kiểm tra, đánh giá an toàn thông tin tối thiểu phải bao gồm các nội
dung sau:
a) Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống
thông tin theo cấp độ;
b) Đánh giá hiệu quả của biện pháp bảo đảm an toàn hệ thống thông tin;
c) Đánh giá, phát hiện mã độc, lỗ hổng, điểm yếu về mặt kỹ thuật theo quy định
tại Điều 43 Thông tư này;
d) Kiểm tra thử nghiệm cấp độ an toàn mạng (Penetration Test), bắt buộc phải
thực hiện đối với các hệ thống thông tin có kết nối và cung cấp thông tin, dịch vụ
ra Internet, kết nối với khách hàng và bên thứ ba;
đ) Kiểm tra cấu hình các thiết bị bảo mật, các hệ thống cấp quyền truy cập tự
động, hệ thống quản lý thiết bị đầu cuối, danh sách tài khoản.
2. Tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin đối với hệ thống thông
tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của
khách hàng theo các nội dung quy định tại khoản 1 Điều này trước khi đưa vào
vận hành chính thức.
3. Trong quá trình vận hành hệ thống thông tin, tổ chức thực hiện kiểm tra, đánh
giá an toàn thông tin theo quy định tại khoản 1 Điều này định kỳ tối thiểu như
sau:
a) Sáu tháng một lần đối với hệ thống thông tin cấp độ 5;
b) Một năm một lần đối với các hệ thống thông tin cấp độ 4, cấp độ 3 và các JIVF đã triển khai thực hiện theo quy định của Thông tư
trang thiết bị giao tiếp trực tiếp với môi trường bên ngoài như Internet, kết nối
với bên thứ ba;
c) Hai năm một lần thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi
ro an toàn thông tin tổng thể trong hoạt động của tổ chức.
4. Kết quả đánh giá phải được lập thành văn bản báo cáo người đại diện hợp
pháp và cấp có thẩm quyền. Đối với các nội dung chưa tuân thủ quy định về an
toàn thông tin (nếu có) phải đề xuất biện pháp, kế hoạch, thời hạn xử lý, khắc
phục.
Điều 43 Điều 43. Quản lý các điểm yếu về mặt kỹ thuật
Tổ chức quản lý các điểm yếu về mặt kỹ thuật như sau: JIVF đang triển khai hoàn thiện trên văn bản quy định về việc
1. Xây dựng quy định về việc đánh giá, quản lý và kiểm soát các điểm yếu về đánh giá, quản lý và kiểm soát các điểm yếu về mặt kỹ thuật của
mặt kỹ thuật của các hệ thống thông tin đang sử dụng. các hệ thống thông tin đang sử dụng
2. Thường xuyên cập nhật thông tin liên quan đến lỗ hổng, điểm yếu về mặt kỹ
thuật.
3. Thực hiện dò quét lỗ hổng, điểm yếu của các hệ thống thông tin định kỳ theo
quy định tại khoản 3 Điều 42 hoặc khi tiếp nhận được thông tin liên quan đến lỗ JIVF đã triển khai thực hiện theo quy định của Thông tư
hổng, điểm yếu mới.
4. Đánh giá cấp độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật
được phát hiện của các hệ thống thông tin đang sử dụng và đưa ra phương án, kế JIVF đã triển khai thực hiện theo quy định của Thông tư
hoạch xử lý.
5. Xây dựng, tổ chức triển khai các giải pháp xử lý, khắc phục và báo cáo kết quả
xử lý.
Điều 44 Điều 44. Quản lý bảo trì hệ thống thông tin
Tổ chức quản lý bảo trì hệ thống thông tin như sau:
1. Ban hành quy định bảo trì hệ thống thông tin ngay sau khi đưa vào hoạt động
chính thức. Quy định bảo trì tối thiểu bao gồm các nội dung sau:
a) Phạm vi, các đối tượng được bảo trì;
b) Thời điểm, tần suất bảo trì;
JIVF đang trong quá trình hoàn thiện và ban hành quy định bảo
c) Quy trình, kịch bản kỹ thuật để thực hiện bảo trì đối của từng cấu phần và toàn
trì hệ thống thông tin bằng văn bản
bộ hệ thống thông tin;
d) Khi thực hiện bảo trì nếu phát hiện, phát sinh sự cố phải báo cáo cấp có thẩm
quyền để xử lý;
đ) Phân công và xác định trách nhiệm của bộ phận thực hiện bảo trì và giám sát
bảo trì.
2. Thực hiện bảo trì theo quy định tại khoản 1 Điều này đối với hệ thống thông
JIVF thực hiện bảo trì định kỳ
tin do tổ chức quản lý trực tiếp.
3. Rà soát quy định bảo trì tối thiểu một năm một lần hoặc khi hệ thống thông tin JIVF đang đang trong quá trình hoàn thiện và ban hành quy định
có sự thay đổi. bảo trì hệ thống thông tin bằng văn bản
Mục 8 Mục 8 QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN
Điều 45 Điều 45. Quy trình xử lý sự cố
Tổ chức quản lý sự cố như sau:

1. Ban hành quy trình xử lý sự cố an toàn thông tin bao gồm những nội dung tối
thiểu sau:
a) Tiếp nhận thông tin về sự cố phát sinh;
JIVF đang triển khai xây dựng quy trình xử lý sự cố an toàn
b) Đánh giá cấp độ, phạm vi ảnh hưởng của sự cố đến hoạt động của hệ thống
thông tin
thông tin. Tùy theo cấp độ, phạm vi ảnh hưởng của sự cố phải báo cáo đến các
cấp quản lý tương ứng để chỉ đạo xử lý;
c) Thực hiện các biện pháp xử lý, khắc phục sự cố;
d) Ghi nhận hồ sơ và báo cáo kết quả xử lý sự cố.
JIVF đang trong quá trình hoàn thiện văn bản quy định trách
2. Quy định trách nhiệm của cá nhân, tập thể trong việc báo cáo, tiếp nhận, xử lý
nhiệm của cá nhân, tập thể trong việc báo cáo, tiếp nhận, xử lý
các sự cố an toàn thông tin.
các sự cố an toàn thông tin
JIVF đang triển khai xây dựng quy trình xử lý sự cố an toàn
3. Xây dựng các mẫu biểu để ghi nhận, lưu trữ hồ sơ xử lý sự cố.
thông tin và các biểu mẫu liên quan
Điều 46 Điều 46. Kiểm soát và khắc phục sự cố
Tổ chức kiểm soát và khắc phục sự cố như sau:
Tính đến thời điểm hiện tại, JIVF chưa phát sự cố an toàn thông
1. Lập danh sách sự cố an toàn thông tin và phương án xử lý sự cố đối với các hệ
tin nên chưa lập danh sách này.
thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá
JIVF đang triển khai xây dựng biểu mẫu "danh sách sự cố an
nhân của khách hàng; tối thiểu 6 tháng một lần thực hiện rà soát, cập nhật danh
toàn thông tin và phương án xử lý sự cố".
sách, phương án ứng cứu sự cố.
2. Lập tức báo cáo đến cấp có thẩm quyền và những người có liên quan khi phát
sinh sự cố an toàn thông tin để có biện pháp khắc phục trong thời gian sớm nhất.
3. Trong quá trình kiểm tra, xử lý, khắc phục sự cố thu thập, ghi chép, bảo vệ
chứng cứ và lưu trữ tại tổ chức.
4. Đánh giá xác định nguyên nhân và thực hiện các biện pháp phòng ngừa tránh
sự cố tái diễn sau khi khắc phục sự cố.
5. Trong trường hợp sự cố an toàn thông tin có liên quan đến các vi phạm pháp
luật, tổ chức có trách nhiệm thu thập và cung cấp chứng cứ cho cơ quan có thẩm JIVF đã triển khai thực hiện theo quy định của Thông tư
quyền đúng theo quy định của pháp luật.
6. Định kỳ hàng năm tổ chức diễn tập phương án xử lý sự cố bảo đảm an toàn
thông tin cho tối thiểu một trong các hệ thống thông tin từ cấp độ 3 trở lên và JIVF đã triển khai thực hiện theo quy định của Thông tư
thực hiện luân phiên nếu có từ 02 hệ thống thông tin từ cấp độ 3 trở lên.
Điều 47 Điều 47. Trung tâm Điều hành an ninh mạng
1. Tổ chức quản lý trực tiếp hệ thống thông tin từ cấp độ 3 trở lên phải thành lập
hoặc chỉ định bộ phận chuyên trách để quản lý vận hành Trung tâm Điều hành an
ninh mạng (không áp dụng với chi nhánh ngân hàng nước ngoài, tổ chức cung JIVF là tổ chức tín dụng phi ngân hàng nên không thuộc trường
ứng dịch vụ trung gian thanh toán, tổ chức tín dụng phi ngân hàng, tổ chức tài hợp cần triển khai thực hiện quy định này
chính vi mô, quỹ tín dụng nhân dân cơ sở, công ty thông tin tín dụng, Công ty
Quản lý tài sản của các tổ chức tín dụng Việt Nam, Nhà máy in tiền quốc gia).
2. Trung tâm Điều hành an ninh mạng thực hiện các nhiệm vụ sau:
a) Chủ động theo dõi, thu thập, tiếp nhận các thông tin, cảnh báo về các nguy Cơ,
rủi ro an toàn thông tin từ bên trong và bên ngoài.
b) Xây dựng hệ thống quản lý và phân tích sự kiện an toàn thông tin (SIEM),
thực hiện thu thập và lưu trữ tập trung tối thiểu các thông tin: nhật ký của các hệ
thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá
nhân của khách hàng; cảnh báo, nhật ký của trang thiết bị an ninh mạng (tường
lửa, IPS/IDS).
c) Phân tích thông tin để phát hiện và cảnh báo về các rủi ro và các nguy cơ tấn JIVF là tổ chức tín dụng phi ngân hàng nên không thuộc trường
công mạng, sự cố an toàn thông tin và phải gửi cảnh báo đến người quản trị hệ hợp cần triển khai thực hiện quy định này
thống khi phát hiện sự cố liên quan đến các hệ thống thông tin từ cấp độ 3 trở lên
và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng.
d) Tổ chức điều phối ứng cứu sự cố và khoanh vùng, ngăn chặn, giảm thiểu tác
động, thiệt hại đến hệ thống thông tin khi sự cố phát sinh.
đ) Điều tra, xác định nguồn gốc, cách thức, phương pháp tấn công và thực hiện
các biện pháp phòng ngừa tránh sự cố tái diễn.
e) Cung cấp thông tin theo yêu cầu của Ngân hàng Nhà nước để phục vụ giám
sát an ninh mạng ngành Ngân hàng.
Điều 48 Điều 48. Hoạt động ứng cứu sự cố an toàn thông tin
1. Mạng lưới ứng cứu sự cố an toàn thông tin trong ngành Ngân hàng (mạng
lưới) bao gồm:
a) Ban điều hành mạng lưới do Thống đốc Ngân hàng Nhà nước thành lập; JIVF đã triển khai thực hiện theo quy định của Thông tư, với bộ
b) Cơ quan điều phối là Cục Công nghệ thông tin (Ngân hàng Nhà nước); phận chuyên trách an toàn thông tin là bộ phận Hệ thống văn
c) Các thành viên mạng lưới: Cục Công nghệ thông tin (Ngân hàng Nhà nước), phòng
tổ chức tín dụng (bộ phận chuyên trách an toàn thông tin) và thành viên tự
nguyện tham gia mạng lưới là các cơ quan, tổ chức tự nguyện tham gia.
2. Mạng lưới có nhiệm vụ phối hợp các nguồn lực trong và ngoài ngành ứng phó
hiệu quả sự cố an toàn thông tin, góp phần bảo đảm hệ thống ngân hàng hoạt JIVF đã triển khai thực hiện theo quy định của Thông tư
động an toàn.
3. Nguyên tắc trong hoạt động điều phối và ứng cứu sự cố

a) Ban điều hành mạng lưới có nhiệm vụ: (i) Phê duyệt chiến lược và kế hoạch
hoạt động hàng năm của mạng lưới; (ii) Điều hành hoạt động mạng lưới (ứng
cứu sự cố, diễn tập và đào tạo, tập huấn ứng cứu sự cố); (iii) Đánh giá kết quả
hoạt động của mạng lưới, báo cáo Thống đốc Ngân hàng Nhà nước hàng năm;
b) Các tổ chức theo quy định tại điểm c khoản 2 Điều này phải có trách nhiệm
cung cấp nguồn lực và tham gia làm thành viên mạng lưới;
c) Khi gặp sự cố an toàn thông tin, các thành viên phải báo cáo Cơ quan điều
phối theo quy định tại khoản 1 Điều 54 Thông tư này;
d) Khi gặp sự cố nghiêm trọng không tự khắc phục được, các thành viên phải gửi
yêu cầu hỗ trợ đến Cơ quan điều phối;
đ) Căn cứ vào từng sự cố, Cơ quan điều phối sẽ báo cáo Ban điều hành mạng
lưới và đề nghị các thành viên mạng lưới hỗ trợ hoặc các cơ quan nhà nước có
thẩm quyền hỗ trợ, ứng cứu.
4. Nguyên tắc quản lý, sử dụng thông tin trong hoạt động điều phối và ứng cứu
sự cố:
a) Thông tin được trao đổi, cung cấp trong quá trình điều phối và ứng cứu sự cố
là thông tin bí mật; JIVF đã triển khai thực hiện theo quy định của Thông tư
b) Nghiêm cấm tổ chức, cá nhân sử dụng thông tin trao đổi trong quá trình điều
phối và ứng cứu sự cố để làm ảnh hưởng đến uy tín, hình ảnh của tổ chức cung
cấp thông tin.
Điều 49 Điều 49. Nguyên tắc bảo đảm hoạt động liên tục
1. Tổ chức thực hiện các yêu cầu tối thiểu sau:
a) Phân tích tác động và đánh giá rủi ro đối với việc gián đoạn hoặc ngừng hoạt
động của hệ thống thông tin;
JIVF đang triển khai cập nhật quy trình bảo đảm hoạt động liên
b) Xây dựng quy trình và kịch bản bảo đảm hoạt động liên tục hệ thống thông tin
tục hệ thống thông tin.
theo quy định tại Điều 51 Thông tư này;
c) Tổ chức triển khai bảo đảm hoạt động liên tục theo quy định tại Điều 52
Thông tư này.
2. Trên cơ sở phân tích tác động và đánh giá rủi ro tại điểm a khoản 1 Điều này,
JIVF đã lập danh sách các hệ thống thông tin cần bảo đảm hoạt
tổ chức lập danh sách các hệ thống thông tin cần bảo đảm hoạt động liên tục tối
động liên tục.
thiểu bao gồm các hệ thống thông tin từ cấp độ 3 trở lên.
3. Các hệ thống cần bảo đảm hoạt động liên tục tại khoản 2 Điều này phải bảo
đảm tính sẵn sàng cao và có hệ thống dự phòng thảm họa.
Điều 50 Điều 50. Xây dựng hệ thống dự phòng thảm họa
1. Tổ chức xây dựng hệ thống dự phòng thảm họa đáp ứng các yêu cầu sau:
a) Đánh giá rủi ro và xem xét khả năng xảy ra các thảm họa ảnh hưởng đồng thời
tới cả hệ thống thông tin chính và hệ thống thông tin dự phòng thảm họa khi lựa
chọn địa điểm đặt hệ thống dự phòng thảm họa: thảm họa tự nhiên như động đất,
lũ lụt, bão, đại dịch; thảm họa do yếu tố con người và công nghệ như các sự cố
về mạng lưới điện, hỏa hoạn, giao thông, tấn công an ninh mạng;
b) Địa điểm đặt hệ thống dự phòng phải đáp ứng các yêu cầu quy định tại Điều JIVF đã triển khai thực hiện theo quy định của Thông tư
17 Thông tư này;
c) Hệ thống dự phòng phải bảo đảm khả năng thay thế hệ thống chính trong
khoảng thời gian: (i) 4 giờ đối với các hệ thống thông tin từ cấp độ 3 trở lên
(ngoại trừ các hệ thống thông tin xử lý thông tin bí mật nhà nước); (ii) 24 giờ đối
với các hệ thống thông tin xử lý thông tin bí mật nhà nước; (iii) Theo thời gian
quy định của tổ chức đối với các hệ thống khác.
2. Các tổ chức chỉ có một trụ sở làm việc tại Việt Nam (trừ tổ chức tài chính vi
mô, quỹ tín dụng nhân dân cơ sở) phải có văn phòng dự phòng tại một địa điểm JIVF đã xây dựng văn phòng dự phòng đáp ứng theo yêu cầu của
khác tách biệt trụ sở làm việc và có trang thiết bị để bảo đảm hoạt động liên tục thông tư.
thay thế trụ sở làm việc.
Điều 51 Điều 51. Xây dựng quy trình, kịch bản bảo đảm hoạt động liên tục
Tổ chức xây dựng quy trình, kịch bản bảo đảm hoạt động liên tục như sau: JIVF đang triển khai xây dựng quy trình xử lý các tình huống mất
1. Xây dựng quy trình xử lý các tình huống mất an toàn, gián đoạn hoạt động của an toàn, gián đoạn hoạt động của từng cấu phần trong hệ thống
từng cấu phần trong hệ thống thông tin từ cấp độ 3 trở lên. thông tin từ cấp độ 3 trở lên.
2. Đối với các tổ chức có cả hệ thống thông tin chính và dự phòng đặt ngoài lãnh
JIVF có phương án đảm bảo hoạt động liên tục trong trường hợp
thổ Việt Nam phải xây dựng phương án bảo đảm hoạt động liên tục trong trường
bị gián đoạn đường truyền kết nối với các hệ thống thông tin
hợp bị gián đoạn đường truyền kết nối với các hệ thống thông tin chính và dự
chính và dự phòng.
phòng.
3. Xây dựng kịch bản chuyển đổi hệ thống dự phòng thay thế cho hoạt động của
hệ thống chính, bao gồm nội dung công việc, trình tự thực hiện, dự kiến thời gian
hoàn thành đáp ứng các nội dung sau:
a) Có các nguồn lực, phương tiện và các yêu cầu cần thiết để thực hiện;
b) Có các mẫu biểu ghi nhận kết quả;
JIVF đang triển khai cập nhật kịch bản chuyển đổi theo yêu cầu
c) Bố trí và phân công trách nhiệm cho nhân sự tham gia với các vai trò: chỉ đạo
của thông tư.
thực hiện, giám sát, thực hiện chuyển đổi, vận hành chính thức và kiểm tra kết
quả;
d) Áp dụng biện pháp bảo đảm an toàn thông tin;
đ) Có phương án bảo đảm hoạt động liên tục khi việc chuyển đổi không thành
công.
mô, quỹ tín dụng nhân dân cơ sở) phải xây dựng kịch bản chuyển đổi hoạt động JIVF đã triển khai thực hiện theo quy định của Thông tư
sang văn phòng dự phòng.
5. Quy trình, kịch bản chuyển đổi phải được kiểm tra và cập nhật khi có sự thay
JIVF đang triển khai cập nhật kịch bản chuyển đổi theo yêu cầu
đổi của hệ thống thông tin, cơ cấu tổ chức, nhân sự và phân công trách nhiệm của
của thông tư.
các bộ phận có liên quan trong tổ chức.
Điều 52 Điều 52. Tổ chức triển khai bảo đảm hoạt động liên tục
1. Tổ chức phải có kế hoạch và tổ chức triển khai bảo đảm hoạt động liên tục hệ
thống thông tin (ngoại trừ các hệ thống thông tin chính và dự phòng hoạt động
song song) theo các yêu cầu sau:
a) Tối thiểu sáu tháng một lần, tiến hành kiểm tra, đánh giá hoạt động của hệ
thống dự phòng;
b) Thực hiện chuyển hoạt động từ hệ thống chính sang hệ thống dự phòng và
hoạt động chính thức trên hệ thống dự phòng tối thiểu 1 ngày làm việc của từng
hệ thống thông tin theo danh sách tại khoản 2 Điều 49 Thông tư này, một năm
một lần đối với hệ thống thông tin từ cấp độ 4 trở lên, hai năm một lần đối với hệ
thống thông tin từ cấp độ 3 trở xuống; đánh giá kết quả và cập nhật các quy trình,
kịch bản chuyển đổi (nếu có). Trường hợp không thể chuyển đổi hoạt động trong
ngày làm việc, hệ thống dự phòng phải được thiết lập có cùng công suất, cấu
hình với hệ thống chính và định kỳ hàng năm thực hiện chuyển đổi, kiểm tra tính
sẵn sàng của hệ thống dự phòng.
JIVF đang trong quá trình triển khai thực hiện theo quy định của
mô, quỹ tín dụng nhân dân cơ sở) phải tổ chức thực hiện diễn tập bảo đảm hoạt
Thông tư
động liên tục định kỳ hàng năm.
3. Tổ chức phải thông báo kế hoạch, nội dung và kịch bản diễn tập chuyển đổi
hoạt động liên tục cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) chậm
nhất là 5 ngày làm việc trước khi thực hiện qua địa chỉ thư điện tử
antt@sbv.gov.vn.
Mục 10 Mục 10 KIỂM TRA NỘI BỘ VÀ CHẾ ĐỘ BÁO CÁO

Điều 53 Điều 53. Kiểm tra nội bộ
Tổ chức thực hiện kiểm tra nội bộ như sau:
1. Xây dựng quy định kiểm tra nội bộ về công tác bảo đảm an toàn thông tin của JIVF đã triển khai thực hiện theo quy định của Thông tư
tổ chức.
2. Hàng năm, xây dựng kế hoạch và thực hiện công tác tự kiểm tra việc tuân thủ
các quy định tại Thông tư này và các quy định nội bộ của tổ chức về bảo đảm an
toàn thông tin. Đối với các ngân hàng thương mại, chi nhánh ngân hàng nước
ngoài, việc kiểm tra nội bộ do bộ phận quản lý rủi ro hoặc bộ phận tuân thủ thực
hiện tối thiểu một năm một lần và do bộ phận kiểm toán nội bộ hoặc tổ chức
kiểm toán độc lập thực hiện tối thiểu ba năm một lần.
3. Kết quả kiểm tra về công tác bảo đảm an toàn thông tin của tổ chức phải được
lập thành báo cáo gửi người đại diện theo pháp luật và cấp có thẩm quyền, trong
đó các vấn đề còn tồn tại chưa bảo đảm tuân thủ các quy định về an toàn thông
tin (nếu có) phải có phương án xử lý, kế hoạch thực hiện.
4. Tổ chức thực hiện và báo cáo kết quả khắc phục các tồn tại nêu trong báo cáo
theo quy định tại khoản 3 Điều này.
Điều 54 Điều 54. Chế độ báo cáo
Tổ chức có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước (Cục Công nghệ
thông tin) các nội dung sau:
1. Báo cáo sự cố an toàn thông tin (theo Phụ lục 01 kèm theo Thông tư này)
trong vòng 24 giờ kể từ thời điểm sự cố được phát hiện và Báo cáo hoàn thành JIVF đã triển khai thực hiện theo quy định của Thông tư
khắc phục sự cố (theo Phụ lục 02 kèm theo Thông tư này) trong vòng 05 ngày
làm việc sau khi hoàn thành khắc phục sự cố. Báo cáo gửi về địa chỉ thư điện tử
antt@sbv.gov.vn.
2. Báo cáo đánh giá rủi ro theo quy định tại khoản 3 Điều 33 Thông tư này gửi
trực tiếp hoặc qua đường bưu điện về Ngân hàng Nhà nước (Cục Công nghệ
thông tin) khi thuê ngoài toàn bộ công việc quản trị hệ thống thông tin từ cấp độ JIVF đã triển khai thực hiện theo quy định của Thông tư
3 trở lên và các hệ thống thông tin xử lý thông tin khách hàng trước thời điểm
triển khai tối thiểu 10 ngày làm việc.
3. Báo cáo các trường hợp cá nhân làm việc trong lĩnh vực công nghệ thông tin
của tổ chức bị kỷ luật theo quy định tại khoản 6 Điều 16 Thông tư này gửi trực
tiếp hoặc qua đường bưu điện về Ngân hàng Nhà nước (Cục Công nghệ thông
tin) trong vòng 5 ngày làm việc kể từ thời điểm có quyết định kỷ luật.
Ghi chú:
1. Cột “Nội dung đã triển khai tại đơn vị”: Trình bày vắn tắt về các công tác đã thực hiện, tối thiểu gồm các nội dung đã nêu trong mẫu báo cáo. Ngoài ra có thể trình bày thêm về các nộ
2. Cột “Mức độ tuân thủ” được đánh giá theo Quy ước về mức độ tuân thủ
3. Cột “Giải pháp, kế hoạch triển khai để đáp ứng”: Nêu giải pháp và biện pháp khắc phục để đảm bảo mức độ tuân thủ từ Mức độ 2 trở lên
4. Quy ước về mức độ tuân thủ như sau:
STT Nội dung mô tả Mức độ tuân thủ

1 Không tuân thủ 0
2 Tuân thủ còn nhiều tồn tại 1
3 Tuân thủ còn một số điểm cần khắc phục 2
4 Tuân thủ hoàn toàn 3
i1
n
t/
h
7
tô
/
h
n
2
Giải pháp, kế hoạch triển khai eg0
Mức độ tuân thủ o
1
để đáp ứng (Nếu có) t6
ci
ấn
c
p
ủ
ta
đ
h
ộ
eC
o
h
p
í
3 h
cn
ảấh
ip
p
đ
h
ư
ộ
ủ
ợ
ctq
u
lây
ận
p
đ
3 tị
vh
n
àủ
h
rq
v
àu
ề
y
sb
o
đ
ả
3 áịo
tn
,h
đ
ả
ctm
ậạ
p
ia
n
3 n
N
OK
h
gt
ậh
o
tịà
n
sđ
aịh
u
n
ệ
h
kt
h
s
iố
n
h
8
g
ệ5
/t
3 OK
3 OK
3
p
ệh
ả3
.ti
h
Tố
đ
n
à
ư
2 igợ
c
st
h
sả
ô
n
ự
n
vgp
ậ
h
3 ttê
i
ln
d
ý
u
ty
3 ừ
ệp
h
t
cả
iấc
3 OK
p
ủ
đ
a
đ
ư
ộ
ợ
c
ấc
3
p
3 g
itc
ró
a
ở
o
t,
lh
êẩg
2 án
m
n
p
q
h
t
u
rảy
2 iềá
cn
áh
p
v
àn
d
h
3 ụ
i
p
ện
h
gảm
i
p
c
h
h
t
3 ư
o
h
ơ
ự
n
cc
ág
h
ái
n
n
ệh
â
p
h
ầ
n
m
ề
3 m
k
h
i
l
ư
u
2 t
r
ữ
t
r
3 OK
ê
n
3 v
OK
ậ
t
m
a
n
g
t
i
n
p
3 h
ả
i
t
u
â
n
t
h
ủ
c
áOK
c
q
3 u
y
s
ử
d
3 ụ
n
g
v
ậ
t
3 OK
m
a
n
g
t
i
n
2 OK
t
h
e
o
q
u
y
đ
ị
n
h
3 s
a
u
:
1
.
K
i
ể
m
s
o
á
3 t
v
i
ệ
c
đ
ấ
u
r
tto
h
n
o
ô
àg
n
n
gc
tô
th
n
OK
3 iô
g
n
n
gt
tá
ừ
tc
3 OK
i
cn
x
ấâ
p
cyOK
3
h
đ
d
o
ộ
OK
ự
tn
2
g
ổ
tc
rh
ở
i
3 ứ
cế
x;n
u
b
ố
)l
n
ư
gTợ
ác
cc,
h
h
ỉk
ế
b
đ
i
ịệh
n
to
h
ạ
3 c
n
b
h
ộ
â
v
n
p
ề
h
s
ậự
b
n
ả
go
ci
ó
đ
ữ
aả
tm
rc
ááa
ccn
h
t
n
n
o
h
h
ià
h
s
tự
r
ál
àc
h
m
2
n
v
ih
iệ
cệ
m
t
tạ
2 ir
o
cn
gá
c
v
vi
ệị
c
3 OK
t
rb
ảí
o
q
đ
u
ảa
m
n
3 OK
ta
n
r
ọ
tn
go
à
cn
ủ
atOK
3 h
ô
h
n
ệ
g
t
t
h
iố
3 n
n
OK
g
c
ủ
t
a
h
ô
v
n
ịg
tt
ir
ín
3 OK
3 OK
3 OK
3 OK
3 OK
3
ủ
y
ra,
ọ
ih
t
ệr
tOK
u
trn
h
ự
g
ố
c
n
t
gtâ
im
3 tOK
ế
h
p
d
ô
,ữ
n
3 gOK
cl
h
i
tố
ệ
iu
n
n
g
p
th
ừ
h
ả
2
ấi
c
m
ấb
p
d
ả
ộ
o
tđ
ộ
đ
n
ả
3
ư
m
ớ
tc
,rá
ở
c
t
lry
áêê
n
u
h
p
cOK
h
n
ầ
ảgu
ậi
p
s
đ
a
ư
lu
ợ
ụ
:
ct1
.
c
áC
K
ch
ổ
h
u
n
g
vl
yự
v
3 cà
vo
iặ
t
n
gb
u
ê
ồ
n
n
t
đ
rOK
3 io
ện
n
g
,
c
OK
h
t
ír
OK
n
ừ
h
t
b
r
ịư
ờ
gn
ig
á
n
h
ợ
đ
p
o
OK
ạt
n
ổ
.
c
P
h
OK
h
ứ
ảc
iOK
c
có
ó
h
b
ệ
3 iOK
ệt
n
h
ố
p
n
h
g
á
p
d
ự
3 c
h
p
ố
h
n
ò
gn
g
q
u
b
áả
o
t
3 OK
3 OK
OK
3 OK
3
3
3 OK
3 OK
3 OK
c
ầ
n
đ
ư
ợ
c
3
s
a
o
l
ư
u
,
3 k
è
m
t
h
e
o
3 t
h
ờ
i
g
i
a
3 n
l
ư
u
t
r
ữ
OK
2 ,
đ
ị
n
h
3 OK
k
ỳ
s
a
o
l
ư
u
3
3 OK
2
3 OK
3 OK
đ
ầ
y
đ
ủ
,
đ
ú
n
g
đ
ị
a
3 c
h
ỉ
v
à
c
ó
b
i
ệ
n
p
h
á
p
b
ả
3 o
v
ệ
đ
ể
p
h
3 á
t
h
i
3 ệ
n
c
á
c
m
m
ạ
ạo
n
,
g
t
(h
fa
iy
r
eđ
w
ổ
ai
l
lv
à
l
o
t
gr
2 )u
;y
b
)c
ậ
Tp
h
ô
t
n
r
gá
i
t
ip
n
h
é
đ
p
3 ă;
n
gb
ả
n
o
h
ậđ
3 p
ả
;m
c
)n
g
Tư
3 h
ờ
ô
i
n
gq
u
3 tả
in
n
t
tr
h
ị
a
yh
t
rp
h
a
,ò
n
g
d
i
3 ệcOK
h
t
ố
n
m
ãg
m
đ
3 OK
ãộ
c
đ
ộ
đ
cố
3
i
m
vớ
iớ
i:
3
vt
h
ậ
ti
ế
t
m
a
l
n
ậg
p
3 tOK
ic
ận
p
t
rn
h
ư
ậ
ớ
tc
tk
3 OK
ự
h
i
đ
ộ
sOK
n
ử
g
d
h
ụ
o
n
ặg
.c
t
h
e
o
2
3 OK
3 OK
2 OK
3 OK
3 OK
3 OK
3 OK
3 OK
3 OK
3 OK
3 OK
x
ử
l
ýOK
3
t
h
ô
n
g
3 t
i
n
c
á
n
3 h
â
n
c
ủ
a
k
h
á
c
3 OK
h
h
à
n
g
p
h
3 OK
ả
i
s
3 OK
ử
d
ụ
n
3 gOK
g
i
a
OK
o
t
h
ứ
t
o
à
n
t
h
3 ô
OK
n
g
3 tOK
i
n
3 ;OK
b
)
3 OK
K
h
ả
n
ă
n
g
k
i
ể
m
s
o
á
2 t
c
á
c
q
u
y
t
r
ì
n
h
n
g
h
i
ệ
p
v
ụ
g
l
tê
h
n
ô
.
n
gP
h
tư
iơ
n
n
g
x
ử
á
n
l
2 ýd
ự
t
h
p
ô
h
n
ò
gn
g
t
ip
n
h
ả
ki
h
áđ
cư
h
ợ
c
3 h
àk
n
i
gể
,m
tt
ổ
h
ử
c
3 OK
h
v
ứ
à
c
đ
tá
h
n
ự
h
3 OK
c
g
h
i
iá
ệ
n
s
ẵ
đ
n
á
n
s
t
r
ừ
t
r
ư
ờ
n
g
h
ợ
p
c
ó
2
y
ê
u
c
ầ
u
c
ủ
a
c
ơ
q
u
2 OK
a
n
n
h
à
3 OK
n
ư
ớ
c
c
ó
3 OK
t
h
ẩ
m
q
u
y
ề
n
3 OK
3 OK
3 OK
2 OK
á
c
q
u
y
3 OK
đ
ị
n
h
v
3 ề
b
ả
o
3 đ
OK
ả
m
a
n
3 OK
t
o
à
n
tOK
3 h
ô
n
g
t
i
n
c
3 ủ
a
b
ê
n
t
h
ứ
ok
b
a
t
h
e
o
đ
3
3 OK
3 OK
3 OK
3 OK
3 OK
3
ẩ
m
q
u
y
ề
3 OK
n
;
b
)
3 OK
Q
u
ả
n
l
ý
,
b
ả
3 o
v
ệ
t
ệ
p
t
i
3 OK
n
c
ấ
u
h
ì
n
h
h
ệ
2 OK
t
h
ố
n
g
;
c
)
Y
ê
u
c
đ
ị
n
h
t
3 ạ
i
Đ
i
ề
u
4
3
T
h
ô
n
g
t
3 ư
n
à
y
;
d
)
K
i
ể
m
t
r
2 a
t
h
ử
n
g
h
i
ệ
m
c
ấ
p
đ
ộ
a
h
t
ệh
ố
tn
h
g
ố
n
t
gh
ô
tn
h
g
ô
3 n
t
gi
n
t
ic
n
ấ
p
đ
ịđ
n
ộ
h
4
3 k,OK
ỳ
c
tấ
h
p
e
o
đ
ộ
2 q
OK
u
3
y
v
đ
à
3 ị
n
c
h
á
c
t
3 ạt
ir
a
kn
h
g
3 o
ảt
n
h
i
3 3
ế
t
Đ
ib
ềị
u
g
4
i
2
a
v
i
ả
n
h
h
ư
ở
n
g
2 OK
c
ủ
a
s
ự
c
ố
2 OK
đ
ế
n
2 OK
h
o
ạok
t
đ
ộ
n
g
c
ủ
2 a
h
ệ
t
h
ố
n
g
2 OK
t
h
ô
2 OK
n
g
t
i
n
.
3
t
r
ở
l
3 ê
n
v
à
c
á
3 OK
c
h
ệ
3 OK
t
h
ố
3 n
OK
g
t
h
3 ô
OK
n
g
t
i
n
3
c
ó
x
ử
l
ý
t
3 h
ô
n
g
t
i
n
c
á
n
h
3
3
ệ
m
c
u
n
3 g
c
ấ
p
n
g
u
ồ
n
l
ự
c
v
à
3 t
h
a
m
g
i
a
l
à
m
t
h
à
n
h
v
i
ê
3 n
m
ạ
n
g
l
ư
ớ
i
;
c
)
ạt
n
r
,ì
n
gh
i
av
o
à
tk
2 h
ị
ô
c
n
h
g
,b
ả
tn
ấ
n
b
3 ả
co
ô
n
đ
gả
3 m
a
n
h
o
n
ạ
it
n
h
đ
ộ
m
n
ạg
n
gl
;i
b
ê
)n
2 Đ
t
ịụ
ac
đ
h
iệ
ể
m
t
h
đ
ố
ặn
tg
h
t
ệh
ô
tn
h
g
ố
n
t
ih
ệự
ảtp
crcih
ìò
tn
h
xn
ạiâh
g
iệy
3 xd
n
V
ử
;d
ự
ib
ự
ệl)n
p
tgýh
C
ò
N
cn
ó
p
aáh
g
m
cư
áơ
t
(cn
tạ
2 tìgi
rm
n
ừ
h
ẫám
u
ộ
n
th
t
ổ
u
b
ố
iảđ
3 cểo
n
ị
h
gu
a
ứ
đ
cm
gảđ
ấi
h
m
tiể
àh
m
ian
o
ạn
h
k
cậth
h
tá
n
ío
c
đ
n
à
kộ
h
n
ến
t
2 tg,á
vc
iq
lgh
iu
i
m
ảêáb
ô
n
;n
i
,cệ
đ
)t
q
o
ụ
u
ạB
ct
ỹố
n
r
tụ
ttrh
ío
ro
s
3 n
ạở
ín
tg
d
vl
ụ
đ
àt
n
rộ
m
gn
p
ư
gv
h
ờ
n
ân
i
ố
cn
t
N
gah
h
u
ô
m
t
yn
ểh
(g
ô
n
t
2 n
rt
igừ
đ
ổ
n
itt
iổ
t
n
h
h
,ce
o
ạo
h
tcứ
ơ
d
c
đ
a
ct
ộ
n
ấàh
n
gu
i
s
látc
iổ
c
h
êíh
cn
n
h
t
h
3 tứ
ạ
cvi
ụ
c,i
k
cn
h
m
h
o
ô
â,ả
o
n
n
N
q
gsu
2
âự
ỹ
n
Đ
vti
àíề
h
àn
u
p
n
gh
4
d
âụ
9
2 n
N
n
h
Tg
àch
ô
ô
n
n
n
h
ggâ
ư
ớ
n
3 ctt
rd
ư
(áâ
cC
n
àh
ụ
ok
ccy
n
,ơ
h
C
is
ô
m
g
i
,t
ư
c
h
n
ià
3 yOK
n
)
h
át
n
r
h
o
n
n
g
g
âv
3 n
ò
n
h
g
à
n
2
g4
n
g
ư
i
ớ
ờ
c
k
3 OK
n
ể
g
o
t
àừ
i
,t
h
3 vOK
ờ
ii
ệ
cđ
i
kể
im
ể
m
s
ự
3 t
rc
aố
n
đ
ộ
ư
iợ
c
b
ộ
p
h
d
á
o
t
b
h
ộ
i
u
ê
n
g
o
à
i
3
t
o
à
n
b
ộ
3 OK
c
ô
n
g
v
i
ệ
c
trình bày thêm về các nội dung khác như đã nêu trong TT18.
q
u
ả
n
t
r
ị
h
ệ
t
h
ố
n
g
t
h
ô
n
g
t
i
n
t
ừ
c
ấ
p
VIII. TÌNH HÌNH TUÂN THỦ THÔNG TƯ 35/2018/TT-NHNN VÀ THÔNG TƯ 35/2016/TT-NHNN
Mức độ
TT Nội dung báo cáo Nội dung đã triển khai tại đơn vị
tuân thủ
Mục 1 HẠ TẦNG KỸ THUẬT CỦA HỆ THỐNG INTERNET BANKING
Điều 4 Điều 4. Hệ thống mạng, truyền thông và an ninh bảo mật
1. Hệ thống mạng được chia tách thành các phân vùng, tối thiểu gồm: phân vùng kết nối Internet, phân
vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ), phân vùng người dùng, phân
vùng quản trị, phân vùng máy chủ. Các máy tính phục vụ cho việc cung cấp thông tin trên Internet phải Hệ thống mạng đã được chia tách ra các phân vùng 3
được đặt trong phân vùng DMZ. Các máy chủ lưu trữ, xử lý dữ liệu phải được đặt trong phân vùng máy
chủ.
2. Trang bị các giải pháp an ninh bảo mật cho hệ thống Internet Banking, tối thiểu gồm: thiết bị tường Đã triển khai thiết bị tường lửa; phòng chống vi rút;
lửa; phòng chống vi rút; phòng chống tấn công từ chối dịch vụ; tường lửa bảo vệ lớp ứng dụng và phòng phòng chống tấn công từ chối dịch vụ; tường lửa bảo vệ 3
chống tấn công xâm nhập. lớp ứng dụng và phòng chống tấn công xâm nhập.
3. Thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ. Đã đáp ứng 3
4. Kết nối từ bên ngoài vào hệ thống Internet Banking phải thông qua phân vùng DMZ để kiểm soát an
Đã đáp ứng 3
ninh, bảo mật.
5. Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Internet Banking. Đã đáp ứng 3
6. Kiểm tra chính sách an ninh bảo mật; quyền truy cập; các kết nối, trang thiết bị, phần mềm cài đặt bất
Đã đáp ứng 3
hợp pháp vào hệ thống mạng tối thiểu ba tháng một lần.
7. Hạn chế kết nối từ xa để thực hiện công tác quản trị hệ thống. Trường hợp bắt buộc phải kết nối từ xa
vào vùng máy chủ, đơn vị phải sử dụng giao thức truyền thông được mã hóa và không lưu mã khóa bí Đã đáp ứng 3
mật tại các phần mềm tiện ích.
8. Kết nối từ Internet vào hệ thống mạng nội bộ để thực hiện công tác quản trị hệ thống phải được tuân
thủ các quy tắc sau:
a) Phải được người có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối;
Đã đáp ứng 3
b) Phải sử dụng giao thức truyền thông được mã hóa;
c) Thiết bị kết nối phải được cài đặt các phần mềm đảm bảo an ninh bảo mật;
d) Phải sử dụng biện pháp xác thực hai yếu tố khi đăng nhập hệ thống.
9. Đường truyền kết nối Internet cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp
Đã đáp ứng 3
dịch vụ liên tục.
10. Đường truyền kết nối Internet cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung
Đã đáp ứng 3
cấp dịch vụ liên tục.
Điều 5 Điều 5. Hệ thống máy chủ và phần mềm hệ thống
1. Yêu cầu đối với máy chủ
a) Hiệu năng sử dụng trung bình hàng tháng tối đa 80% công suất thiết kế;
Đã đáp ứng 3
b) Có tính năng sẵn sàng cao: Hệ thống Internet Banking phải có máy chủ dự phòng tại chỗ;
c) Tách biệt về lô-gíc hoặc vật lý với các máy chủ hoạt động nghiệp vụ khác.
2. Đơn vị phải lập danh mục các phần mềm được phép cài đặt trên máy chủ. Định kỳ tối thiểu sáu tháng
Đã đáp ứng 3
một lần cập nhật, kiểm tra, đảm bảo tuân thủ danh mục này.
Điều 6 Điều 6. Hệ quản trị cơ sở dữ liệu
108
Mức độ
tuân thủ
1. Hệ quản trị cơ sở dữ liệu phải có cơ chế bảo vệ và phân quyền truy cập đối với các tài nguyên cơ sở
Đã đáp ứng 3
dữ liệu.
2.Hệ thống Internet Banking phải có cơ sở dữ liệu dự phòng thảm họa có khả năng thay thế cơ sở dữ
Đã đáp ứng 3
liệu chính và bảo đảm không mất dữ liệu giao dịch trực tuyến của khách hàng.
3. Đơn vị phải có biện pháp giám sát, ghi nhật ký truy cập cơ sở dữ liệu và các thao tác khi truy cập cơ
Đã đáp ứng 3
sở dữ liệu.
Điều 7 Điều 7. Phần mềm ứng dụng Internet Banking
1. Các yêu cầu an toàn, bảo mật phải được xác định trước và tổ chức, triển khai trong quá trình phát triển
phần mềm ứng dụng: phân tích, thiết kế, kiểm thử, vận hành chính thức và bảo trì. Các tài liệu về an Đã đáp ứng 3
toàn, bảo mật của phần mềm phải được hệ thống hóa và lưu trữ, sử dụng theo chế độ “Mật”.
2. Đơn vị phải kiểm soát mã nguồn phần mềm với các yêu cầu tối thiểu:
a) Kiểm tra mã nguồn, nhằm loại trừ các đoạn mã độc hại, các lỗ hổng bảo mật;
b) Chỉ định cụ thể các cá nhân quản lý mã nguồn của phần mềm ứng dụng Internet Banking;
c) Việc truy cập tới mã nguồn phải được người có thẩm quyền phê duyệt và được theo dõi, ghi nhật ký; Đã đáp ứng 3
d) Mã nguồn phải được lưu trữ an toàn tại ít nhất hai địa điểm tách biệt;
đ) Trường hợp không được bàn giao mã nguồn, khi ký hợp đồng hoặc nghiệm thu hợp đồng, đơn vị phải
yêu cầu bên cung cấp ký cam kết không có các đoạn mã độc hại trong phần mềm ứng dụng mua ngoài.
3. Đơn vị phải kiểm tra thử nghiệm phần mềm ứng dụng Internet Banking đáp ứng các yêu cầu tối thiểu
sau:
a) Lập và phê duyệt kế hoạch, kịch bản thử nghiệm phần mềm ứng dụng Internet Banking, trong đó nêu
rõ các điều kiện về tính an toàn, bảo mật phải được đáp ứng;
b) Phát hiện và loại trừ các lỗi, các gian lận có thể xảy ra khi nhập số liệu đầu vào;
c) Đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng chống các
kiểu tấn công: Injection (SQL, Xpath, LDAP…), Cross-site Scripting (XSS), Cross-site Request Forgery
(XSRF), Brute-Force;
Đã đáp ứng 3
d) Ghi lại các lỗi và quá trình xử lý lỗi, đặc biệt là các lỗi về an toàn, bảo mật trong các báo cáo về kiểm
tra thử nghiệm;
đ) Kiểm tra thử nghiệm các tính năng an toàn, bảo mật phải được thực hiện trên các trình duyệt (ứng
dụng web) và phiên bản phần mềm hệ thống của thiết bị di động (ứng dụng mobile); có cơ chế kiểm tra,
thông báo cho người dùng chạy ứng dụng trên các trình duyệt, phiên bản phần mềm hệ thống đã được
kiểm tra và thử nghiệm an toàn;
e) Việc sử dụng dữ liệu trong quá trình thử nghiệm phải có biện pháp phòng ngừa tránh bị lợi dụng hoặc
gây nhầm lẫn.
109
Mức độ
tuân thủ
4. Trước khi triển khai phần mềm ứng dụng mới, đơn vị phải đánh giá những rủi ro của quá trình triển
khai đối với hoạt động nghiệp vụ, các hệ thống công nghệ thông tin liên quan và lập, triển khai các Đã đáp ứng 3
phương án hạn chế, khắc phục rủi ro.
5. Đơn vị thực hiện quản lý, thay đổi và nâng cấp phiên bản phần mềm ứng dụng đáp ứng các yêu cầu
sau:
a) Phân tích đánh giá ảnh hưởng của việc thay đổi đối với hệ thống hiện tại và các hệ thống có liên quan
khác của đơn vị cho mỗi yêu cầu thay đổi phần mềm ứng dụng;
b) Các phiên bản phần mềm bao gồm cả mã nguồn cần được quản lý tập trung, lưu trữ, bảo mật và có cơ
chế phân quyền cho từng thành viên trong việc thao tác với các tập tin;
c) Thông tin về các phiên bản, thời gian cập nhật, người cập nhật các phiên bản phải được lưu lại;
d) Mỗi phiên bản được nâng cấp phải được kiểm tra thử nghiệm các tính năng an toàn, bảo mật, mức độ
Đã đáp ứng 3
rủi ro và tính ổn định trước khi triển khai chính thức;
đ) Việc nâng cấp phiên bản phải căn cứ trên kết quả thử nghiệm và được người có thẩm quyền phê
duyệt;
e) Các phiên bản phần mềm ứng dụng sau khi thử nghiệm thành công phải được quản lý chặt chẽ; tránh
bị sửa đổi trái phép và sẵn sàng cho việc triển khai;
g) Có các chỉ dẫn rõ ràng về nội dung thay đổi, hướng dẫn cập nhật phần mềm ứng dụng, các thông tin
liên quan khác và phải được người có thẩm quyền phê duyệt trước khi triển khai phiên bản mới cho
khách hàng.
6. Các tính năng bắt buộc của phần mềm ứng dụng:
a) Toàn bộ dữ liệu khi truyền trên môi trường mạng Internet được áp dụng cơ chế mã hóa điểm đầu đến
điểm cuối;
b) Đảm bảo tính toàn vẹn của dữ liệu giao dịch, mọi sửa đổi bất hợp pháp phải được phát hiện trong quá
trình xử lý giao dịch, lưu trữ dữ liệu;
c) Kiểm soát phiên giao dịch: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không
Đã đáp ứng 3
thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác;
d) Có chức năng che giấu đối với việc hiển thị các mã khóa bí mật dùng để đăng nhập vào hệ thống;
đ) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để đảm bảo việc thực hiện giao
dịch bao gồm tối thiểu hai bước: tạo, phê duyệt giao dịch và được thực hiện bởi những người khác nhau.
Trong trường hợp khách hàng là tổ chức được pháp luật cho phép áp dụng chế độ kế toán đơn giản, việc
thực hiện giao dịch tương tự như khách hàng cá nhân.
Điều 8 Điều 8. Phần mềm ứng dụng trên thiết bị di động

1. Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm
Đã đáp ứng 3
ứng dụng Internet Banking trên thiết bị di động.
2. Phần mềm ứng dụng phải được áp dụng các biện pháp bảo vệ để hạn chế dịch ngược. Đã đáp ứng 3
110
Mức độ
tuân thủ
3. Phần mềm ứng dụng phải xác thực người dùng khi truy cập và không có tính năng ghi nhớ mã khóa
truy cập. Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, phần mềm ứng dụng phải tự Đã đáp ứng 3
động khoá tạm thời không cho người dùng tiếp tục sử dụng.
Mục 2 Mục 2. XÁC THỰC GIAO DỊCH INTERNET BANKING
Điều 9 Điều 9. Xác thực khách hàng truy cập dịch vụ Internet Banking
1. Khách hàng truy cập sử dụng dịch vụ Internet Banking phải được xác thực tối thiểu bằng tên đăng
nhập và mã khóa bí mật đáp ứng các yêu cầu sau:
a) Tên đăng nhập phải có độ dài tối thiểu sáu ký tự; không được sử dụng toàn bộ ký tự trùng nhau hoặc
liên tục theo thứ tự trong bảng chữ cái, chữ số;
Đã đáp ứng 3
b) Mã khóa bí mật phải có độ dài tối thiểu sáu ký tự, bao gồm các ký tự chữ và số, có chứa chữ hoa và
chữ thường hoặc các ký tự đặc biệt. Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng.
c) Đối với việc truy cập hệ thống Internet Banking bằng trình duyệt, đơn vị phải có biện pháp chống
đăng nhập tự động.
2. Phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật
ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp bị nhập sai mã khóa bí mật liên
Đã đáp ứng 3
tiếp quá số lần do đơn vị quy định. Đơn vị chỉ mở khóa tài khoản khi khách hàng yêu cầu và phải xác
thực khách hàng trước khi thực hiện mở khóa tài khoản, bảo đảm chống gian lận, giả mạo.
Điều 10 Điều 10. Yêu cầu đối với các giải pháp xác thực giao dịch
1. Yêu cầu đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử:
a) OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của
JIVF chưa triển khai giải pháp xác thực bằng OTP 3
OTP;
b) OTP có hiệu lực tối đa không quá 05 phút.
2. Yêu cầu đối với giải pháp xác thực bằng thẻ ma trận OTP:
a) Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ; JIVF chưa triển khai giải pháp xác thực bằng OTP 3
b) OTP có hiệu lực tối đa không quá 02 phút.
3. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ phần ềm cài đặt trên thiết bị di động:
a) Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm
tạo OTP;
b) Phần mềm tạo OTP phải sử dụng mã khóa do đơn vị cung cấp để kích hoạt trước khi sử dụng. Một
mã khóa kích hoạt chỉ được sử dụng cho một thiết bị di động;
c) Phần mềm tạo OTP phải được kiểm soát truy cập. Trường hợp xác thực truy cập sai năm lần liên tiếp,
phần mềm phải tự động khoá không cho khách hàng sử dụng tiếp;
d) OTP có hiệu lực tối đa không quá 02 phút.
4. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ thiết bị (OTP token): OTP có hiệu lực tối
đa không quá 02 phút.
5. Yêu cầu đối với giải pháp xác thực bằng chữ ký số: Đơn vị phải sử dụng chữ ký số và dịch vụ chứng
thực chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số hoạt động theo quy định của pháp Đã đáp ứng 3
luật về chữ ký số và dịch vụ chứng thực chữ ký số.
6. Yêu cầu đối với giải pháp xác thực bằng dấu hiệu nhận dạng sinh trắc học: dấu hiệu nhận dạng sinh JIVF chưa triển khai giải pháp xác thực bằng dấu hiệu
3
trắc học phải là dấu hiệu duy nhất gắn với mỗi khách hàng và không thể giả mạo. nhận dạng sinh trắc học
111
Mức độ
tuân thủ
Mục 3 Mục 3. QUẢN LÝ VẬN HÀNH
Điều 11 Điều 11. Quản lý nhân sự quản trị, vận hành hệ thống Internet Banking
1. Đơn vị phải phân công nhân sự giám sát, theo dõi hoạt động của hệ thống, phát hiện và xử lý các sự
Đã đáp ứng 3
cố kỹ thuật, các cuộc tấn công mạng.
2. Đơn vị phải phân công nhân sự tiếp nhận thông tin, hỗ trợ khách hàng, kịp thời liên lạc với khách
Đã đáp ứng 3
hàng khi phát hiện các giao dịch bất thường.
3. Nhân sự quản trị, giám sát và vận hành hệ thống Internet Banking phải tham gia các khóa đào tạo cập
Đã đáp ứng 3
nhật kiến thức an ninh, bảo mật hằng năm.
4. Việc cấp phát, phân quyền tài khoản quản trị hệ thống Internet Banking phải được theo dõi, giám sát
Đã đáp ứng 3
bởi bộ phận độc lập với bộ phận cấp phát tài khoản.
Điều 12 Điều 12. Quản lý hoạt động của môi trường vận hành hệ thống Internet Banking
1. Đơn vị không cài đặt, lưu trữ phần mềm phát triển ứng dụng, mã nguồn trên môi trường vận hành. Đã đáp ứng 3
2. Các máy tính của nhân sự quản trị, giám sát và vận hành phải được đặt trong phân vùng mạng quản
trị, được cài đặt phần mềm phòng chống vi rút và phải thiết lập chính sách tự động khóa màn hình sau Đã đáp ứng 3
một khoảng thời gian không sử dụng do đơn vị quy định, nhưng không quá 05 phút.
3. Đơn vị phải thiết lập chính sách hạn chế truy cập Internet đối với các máy tính thực hiện quản trị,
giám sát hệ thống Internet Banking. Trường hợp cần phải kết nối Internet để phục vụ công việc, đơn vị
phải:
Đã đáp ứng 3
a) Đánh giá rủi ro cho việc kết nối Internet;
b) Áp dụng các biện pháp kiểm soát cho việc kết nối;
c) Phương án thực hiện phải được người có thẩm quyền tại đơn vị phê duyệt.
Điều 13 Điều 13. Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật

1. Có biện pháp phòng, chống, dò tìm phát hiện các thay đổi của website, ứng dụng Internet Banking. Đã đáp ứng 3
2. Thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Internet Banking. Đã đáp ứng 3
3. Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố,
Đã đáp ứng 3
tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời.
4. Rà soát, kiểm tra việc cập nhật các bản vá lỗi của phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và
Đã đáp ứng 3
phần mềm ứng dụng tối thiểu ba tháng một lần.
5. Đánh giá an ninh bảo mật đối với hệ thống Internet Banking tối thiểu mỗi năm một lần. Tổ chức thực
Đã đáp ứng 3
hiện diễn tập tấn công thử nghiệm để kiểm tra, đánh giá mức độ đảm bảo an ninh của hệ thống.
112
Mức độ
tuân thủ
6. Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản
trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến
(Common Vulnerability Scoring System version 3 – CVSS v3). Thực hiện triển khai cập nhật các bản vá
bảo mật hoặc các biện pháp phòng ngừa kịp thời đáp ứng các tiêu chí sau:
a) Trong vòng 1 tháng sau khi công bố với lỗ hổng bảo mật được đánh giá ở mức nghiêm trọng (tương
Đã đáp ứng 3
đương với CVSS v3 điểm từ 9.0 trở lên);
b) Trong vòng 2 tháng sau khi công bố với lỗ hổng bảo mật được đánh giá ở mức cao (tương đương với
CVSS v3 điểm từ 7.0 đến 8.9);
c) Khoảng thời gian do đơn vị tự quyết định với lỗ hổng bảo mật được đánh giá ở mức trung bình hoặc
thấp (tương đương với CVSS v3 điểm nhỏ hơn 7.0).
Điều 14 Điều 14. Hệ thống quản trị, giám sát hoạt động của hệ thống Internet Banking
1. Đơn vị phải thiết lập hệ thống giám sát, theo dõi hoạt động của hệ thống Internet Banking. Đã đáp ứng 3
2. Đơn vị phải xây dựng các tiêu chí và phần mềm để xác định các giao dịch bất thường dựa vào thời
gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần đăng nhập sai quá quy định và các dấu hiệu Đã đáp ứng 3
bất thường khác.
3. Đơn vị phải bố trí phòng điều khiển tách biệt với khu vực làm việc chung để thực hiện việc quản trị,
giám sát, theo dõi hoạt động của hệ thống Internet Banking đáp ứng yêu cầu sau:
a) Nhân sự ra vào phòng điều khiển phải được người có thẩm quyền phê duyệt;
b) Truy cập hệ thống để thực hiện công tác quản trị, vận hành và bảo trì phải được thực hiện thông qua
Đã đáp ứng 3
các thiết bị đặt tại phòng điều khiển. Trường hợp cần truy cập từ xa hoặc trực tiếp trên thiết bị phải được
người có thẩm quyền phê duyệt;
c) Truy cập từ bên ngoài vào các thiết bị đặt tại phòng điều khiển phải áp dụng các biện pháp xác thực
hai yếu tố.
Điều 15 Điều 15. Quản lý sự cố bảo mật thông tin

Đơn vị phải thiết lập biện pháp ghi nhận, theo dõi và xử lý các sự cố an ninh thông tin. Định kỳ ba tháng
một lần đơn vị thực hiện đánh giá, tìm nguyên nhân và chủ động thực hiện các biện pháp phòng tránh tái Đã đáp ứng 3
diễn.
Điều 16 Điều 16. Đảm bảo hoạt động liên tục
Chúng tôi đang xây dựng hệ thống dự phòng thảm họa,

Đơn vị phải xây dựng hệ thống dự phòng thảm hoạ, quy trình, kịch bản đảm bảo hoạt động liên tục cho quy trình, kịch bản đảm bảo hoạt động liên tục cho hệ
hệ thống Internet Banking theo quy định của Ngân hàng Nhà nước về đảm bảo an toàn, bảo mật hệ thống Internet Banking theo quy định của Ngân hàng 2
thống công nghệ thông tin trong hoạt động ngân hàng Nhà nước về đảm bảo an toàn, bảo mật hệ thống công
nghệ thông tin trong hoạt động ngân hàng.
1. Phân tích, xác định các tình huống có thể gây mất an ninh thông tin và gián đoạn hoạt động của hệ
thống Internet Banking. Xác định, đánh giá mức độ rủi ro, khả năng có thể xảy ra đối với từng tình Triển khai quét lỗi bảo mật và sửa lỗ hổng định kỳ 3
2
huống tối thiểu sáu tháng một lần. Lập danh sách các tình huống có mức độ rủi ro, khả năng có thể xảy tháng/lần.
ra theo các cấp độ cao, trung bình, chấp nhận được và thấp.
113
Mức độ
tuân thủ
2. Xây dựng phương án (quy trình, kịch bản) xử lý khắc phục các tình huống có mức độ rủi ro, khả năng Chúng tôi đang xây dựng hệ thống dự phòng thảm họa,
có thể xảy ra ở cấp độ cao và trung bình theo Khoản 1 Điều này. Xác định thời gian dừng hoạt động tối quy trình, kịch bản đảm bảo hoạt động liên tục cho hệ
đa để phục hồi hệ thống, phục hồi dữ liệu cho phương án xử lý đối với từng tình huống. Tổ chức phổ thống Internet Banking theo quy định của Ngân hàng 2
biến phương án xử lý đến các nhân sự có liên quan để hiểu rõ nhiệm vụ, công việc cần phải thực hiện Nhà nước về đảm bảo an toàn, bảo mật hệ thống công
khi xử lý. nghệ thông tin trong hoạt động ngân hàng.
3. Bố trí nguồn nhân lực, tài chính và các phương tiện kỹ thuật để tổ chức diễn tập phương án xử lý với
2
các tình huống có mức độ rủi ro, khả năng xảy ra cao theo định kỳ tối thiểu sáu tháng một lần.
4. Lập kế hoạch và tiến hành diễn tập các biện pháp đảm bảo hoạt động kinh doanh liên tục, lưu giữ các
2
hồ sơ có liên quan và tổ chức đánh giá kết quả diễn tập.
Mục 4 Mục 4 BẢO VỆ QUYỀN LỢI CỦA KHÁCH HÀNG
Điều 17 Điều 17. Thông tin về dịch vụ Internet Banking
1. Đơn vị phải cung cấp thông tin về dịch vụ Internet Banking cho khách hàng trước khi đăng ký sử
dụng dịch vụ, tối thiểu gồm:
a) Cách thức cung cấp dịch vụ: trên Internet, thiết bị di động, viễn thông. Cách thức truy cập dịch vụ
Internet Banking ứng với từng phương tiện truy cập dịch vụ trên Internet, thiết bị di động, viễn thông;
Đã đáp ứng 3
b) Hạn mức giao dịch và các biện pháp xác thực giao dịch;
c) Điều kiện cần thiết về trang thiết bị khi sử dụng dịch vụ: thiết bị tạo OTP, số điện thoại di động, thư
điện tử, chứng thư số, thiết bị di động để cài đặt phần mềm;
d) Các rủi ro liên quan đến việc sử dụng dịch vụ Internet Banking.
2. Đơn vị phải thông tin cho khách hàng về hợp đồng cung cấp, sử dụng dịch vụ Internet Banking, tối
thiểu gồm:
a) Quyền lợi và nghĩa vụ của khách hàng sử dụng dịch vụ Internet Banking;
b) Trách nhiệm của đơn vị trong bảo mật các thông tin cá nhân của khách hàng; cách thức đơn vị thu Đã đáp ứng 3
thập, sử dụng thông tin khách hàng; cam kết không bán, tiết lộ, rò rỉ các thông tin khách hàng;
c) Cam kết khả năng đảm bảo hoạt động liên tục của hệ thống Internet Banking;
d) Các nội dung khác của đơn vị đối với dịch vụ Internet Banking (nếu có).
Điều 18 Điều 18. Hướng dẫn khách hàng sử dụng dịch vụ Internet Banking
1. Đơn vị phải xây dựng quy trình, tài liệu hướng dẫn cài đặt, sử dụng các phần mềm, ứng dụng, thiết bị
thực hiện các giao dịch Internet Banking và cung cấp, hướng dẫn khách hàng sử dụng các quy trình, tài Đã đáp ứng 3
liệu này.
114
Mức độ
tuân thủ
2. Đơn vị phải hướng dẫn khách hàng thực hiện các biện pháp đảm bảo an toàn, bảo mật khi sử dụng
dịch vụ Internet Banking, tối thiểu gồm các nội dung sau:
a) Bảo vệ bí mật mã khóa bí mật, OTP và không chia sẻ các thiết bị lưu trữ các thông tin này;
b) Cách thiết lập mã khóa bí mật và thay đổi mã khóa bí mật tài khoản truy cập theo định kỳ tối thiểu
một năm một lần hoặc khi bị lộ, nghi bị lộ;
c) Không dùng máy tính công cộng để truy cập, thực hiện giao dịch Internet Banking;
d) Không lưu lại tên đăng nhập và mã khóa bí mật trên các trình duyệt web;
đ) Thoát khỏi ứng dụng Internet Banking khi không sử dụng;
e) Nhận dạng và hành động xử lý một số tình huống lừa đảo, giả mạo website;
g) Yêu cầu cài đặt, sử dụng phần mềm diệt vi rút trên thiết bị cá nhân sử dụng để giao dịch Internet
Đã đáp ứng 3
Banking;
h) Lựa chọn các giải pháp xác thực có mức độ an toàn, bảo mật phù hợp với nhu cầu của khách hàng về
hạn mức giao dịch;
i) Cảnh báo các rủi ro liên quan đến việc sử dụng dịch vụ Internet Banking;
k) Không sử dụng các thiết bị di động đã bị phá khóa để tải và sử dụng phần mềm ứng dụng Internet
Banking, phần mềm tạo OTP.
l) Thông báo kịp thời cho đơn vị khi phát hiện các giao dịch bất thường;
m) Thông báo ngay cho đơn vị các trường hợp: mất, thất lạc, hư hỏng thiết bị tạo OTP, số điện thoại
nhận tin nhắn SMS, thiết bị lưu trữ khoá bảo mật tạo chữ ký số; bị lừa đảo hoặc nghi ngờ bị lừa đảo; bị
tin tặc hoặc nghi ngờ bị tin tặc tấn công.
3. Đơn vị phải cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thông tin, số điện thoại đường
dây nóng và chỉ dẫn cho khách hàng quy trình, cách thức phối hợp xử lý các lỗi và sự cố trong quá trình
Đã đáp ứng 3
sử dụng dịch vụ.
Điều 19 Điều 19. Bảo mật thông tin khách hàng

1. Thông tin bí mật của khách hàng khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để đảm
Đã đáp ứng 3
bảo tính bí mật.
2. Thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu
Đã đáp ứng 3
khách hàng; có biện pháp giám sát mỗi lần truy cập.
3. Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu về thông tin khách
Đã đáp ứng 3
hàng để phòng chống nguy cơ lộ, lọt thông tin khách hàng.
Điều 20 Điều 20. Chế độ báo cáo
Các đơn vị cung cấp dịch vụ Internet Banking có trách nhiệm gửi báo cáo bằng văn bản về Ngân hàng
Nhà nước Việt Nam:
Đã đáp ứng 3
1. Báo cáo cung cấp dịch vụ Internet Banking
2. Báo cáo đột xuất
115
Mức độ
tuân thủ
Ghi chú:
1. Cột “Nội dung đã triển khai tại đơn vị”: Trình bày vắn tắt về các công tác đã thực hiện, tối thiểu gồm các nội dung đã nêu trong mẫu báo cáo. Ngoài ra có thể trình bày thêm về các nội dung khác như
116
Giải pháp, kế hoạch triển khai để đáp ứng (Nếu
có)
117
có)
118
có)
119
có)
120
có)
121
có)
122
có)
123
có)
124
có)
ày thêm về các nội dung khác như đã nêu trong TT35.
125
IX. TÌNH HÌNH TUÂN THỦ THÔNG TƯ 47/2014/TT-NHNN VÀ THÔNG TƯ 20/2020/TT-NHNN
Chương II Chương II CÁC YÊU CẦU KỸ THUẬT CHUNG
Điều 3 Điều 3. Thiết lập và quản lý cấu hình thiết bị an ninh mạng
1. Các yêu cầu về thiết lập và quản lý cấu hình thiết bị an ninh mạng: JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
a) Việc thiết lập và thay đổi cấu hình thiết bị an ninh mạng phải được kiểm thử và được người có thẩm quyền phê thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
duyệt trước khi thực hiện; nhà cung cấp.
b) Sơ đồ kết nối hệ thống mạng phải được thiết kế đáp ứng yêu cầu:
- Tách biệt giữa vùng dữ liệu chủ thẻ và các vùng mạng khác bao gồm cả vùng mạng không dây;
- Tách biệt chức năng của máy chủ theo nguyên tắc các máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ quản lý
tên miền phải để trên các máy chủ khác nhau (có thể là các máy chủ ảo trên một máy chủ vật lý);
- Có tường lửa tại các điểm kết nối giữa các vùng của hệ thống mạng;
- Sơ đồ mạng phải mô tả được toàn bộ đường đi của dữ liệu chủ thẻ.
c) Phân định trách nhiệm và quyền hạn đối với bộ phận, cá nhân trong quản lý, cấu hình các thiết bị an ninh mạng
bằng văn bản;
d) Không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được
người có thẩm quyền phê duyệt. Có biện pháp che giấu địa chỉ mạng nội bộ và các thông tin về bảng định tuyến nội
bộ khi kết nối với các bên thứ ba;
đ) Quy định bằng văn bản các cổng, dịch vụ, giao thức sử dụng trên hệ thống mạng bao gồm cả những cổng, giao
thức, dịch vụ không an toàn. Triển khai đầy đủ các giải pháp an ninh khi sử dụng các cổng, dịch vụ và giao thức
không an toàn; (Sơ đồ luồng dữ liệu đường đi của thẻ, các cổng kết nối đang được mở cung cấp dịch vụ thẻ).
e) Thực hiện đánh giá lại các chính sách thiết lập trên thiết bị an ninh mạng tối thiểu 02 lần/năm nhằm loại bỏ các
chính sách không sử dụng, hết thời hạn hoặc thiết lập sai chính sách, đảm bảo chính sách được thiết lập trên thiết bị
đúng với các chính sách đã được người có thẩm quyền phê duyệt.
2. Cấu hình thiết bị an ninh mạng JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
a) Giới hạn các truy cập đến môi trường dữ liệu chủ thẻ, chỉ chấp nhận các truy cập thực sự cần thiết và kiểm soát thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
được; nhà cung cấp.
b) Giới hạn các truy cập đến thiết bị mạng và thiết bị an ninh mạng khớp đúng với trách nhiệm của cá nhân, bộ phận
được quy định tại Điểm c Khoản 1 Điều này;
c) Các tập tin cấu hình phải được đồng bộ với cấu hình đang hoạt động của thiết bị và được lưu trữ an toàn theo chế
độ mật để tránh các truy cập trái phép;
d) Thực hiện thiết lập chức năng giám sát trạng thái gói tin hoặc lọc dữ liệu tự động trên thiết bị tường lửa hoặc định
tuyến để phát hiện các gói tin không hợp lệ.
126
3. Kiểm soát các truy cập trực tiếp từ Internet đến môi trường dữ liệu chủ thẻ JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
a) Thiết lập vùng trung gian cung cấp dịch vụ ra ngoài Internet (xác định rõ các máy chủ, dịch vụ, địa chỉ IP, cổng, thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
giao thức được phép truy cập). Việc kết nối ra, vào giữa Internet và môi trường dữ liệu chủ thẻ phải kết nối qua vùng nhà cung cấp.
trung gian cung cấp dịch vụ;
b) Thực hiện các biện pháp chống giả mạo để ngăn chặn và loại bỏ các khả năng giả mạo địa chỉ IP nguồn;
c) Các truy cập từ môi trường dữ liệu chủ thẻ ra ngoài Internet phải được người có thẩm quyền phê duyệt và được
kiểm soát chặt chẽ.
4. Yêu cầu thiết lập phần mềm tường lửa trên tất cả các thiết bị, máy tính cá nhân có kết nối đến dữ liệu thẻ JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
a) Các chính sách an ninh trên phần mềm tường lửa chỉ cho phép thực hiện các hoạt động đủ phục vụ cho nhu cầu thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
xử lý các quy trình nghiệp vụ; nhà cung cấp.
b) Đảm bảo các thiết lập trên phần mềm tường lửa là đang hoạt động;
c) Đảm bảo người dùng không thể thay đổi cấu hình phần mềm tường lửa trên thiết bị.
Điều 4 Điều 4.Thay đổi, loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục
vụ thanh toán thẻ
1. Thay đổi hoặc vô hiệu hoá các tham số và chức năng mặc định của hệ thống (tài khoản, mã khoá bí mật, tham số JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
hệ điều hành, phần mềm, ứng dụng không sử dụng; tham số trên máy POS không sử dụng; chuỗi ký tự mặc định thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
trong giao thức giám sát mạng (giao thức SNMP)). nhà cung cấp.
2. Thay đổi các tham số mặc định (khoá mã hoá trong mạng không dây; các mã khoá bí mật; chuỗi ký tự mặc định JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
trong giao thức SNMP tại các môi trường mạng không dây có kết nối đến dữ liệu thẻ). thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
nhà cung cấp.
3. Chỉ bật hoặc cài đặt các chức năng mặc định (dịch vụ, giao thức, các chương trình nền) khi có nhu cầu sử dụng. JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
nhà cung cấp.
4. Loại bỏ các chức năng, dịch vụ, tập tin, ổ đĩa không cần thiết. Thực hiện thêm các biện pháp an toàn bổ sung (các JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
công nghệ SSH, S-FTP, SSL, IPSec VPN) khi sử dụng các dịch vụ, giao thức không an toàn để truyền dữ liệu trên thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
mạng (chia sẻ tệp tin (File Sharing), NetBIOS, Telnet, FTP). nhà cung cấp.
5. Mã hóa tất cả các kết nối truy cập quản trị từ xa bằng phương pháp mã hóa mạnh. JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
nhà cung cấp.
Điều 5 Điều 5. An toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ
1. Thực hiện nhận dạng các lỗ hổng bảo mật bằng công cụ dò quét và các nguồn thông tin của các tổ chức an ninh JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
mạng bên ngoài có uy tín để xác định mức độ ảnh hưởng của các lỗ hổng bảo mật mới đối với hệ thống thanh toán thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
thẻ, bao gồm các mức độ ảnh hưởng: mức độ cao; mức độ trung bình; mức độ thấp. nhà cung cấp.
2. Đảm bảo toàn bộ các thiết bị phục vụ thanh toán thẻ được cập nhật các bản vá lỗ hổng bảo mật đã được công bố JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
từ các nhà sản xuất. Đối với các bản vá các lỗ hổng bảo mật mức độ cao phải được cài đặt trong thời gian sớm nhất thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
và không quá 01 tháng kể từ khi nhà sản xuất công bố bản vá. nhà cung cấp.
127
3. Phát triển các phần mềm ứng dụng trong lĩnh vực thẻ đảm bảo tuân thủ các quy định của pháp luật và các chuẩn JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
mực phát triển phần mềm ứng dụng được áp dụng rộng rãi trong lĩnh vực công nghệ thông tin. Trong chu trình phát thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
triển phần mềm phải tích hợp với các yêu cầu đảm bảo an toàn thông tin và tối thiểu đáp ứng các yêu cầu sau: nhà cung cấp.
a) Tách biệt môi trường phát triển và kiểm thử với môi trường vận hành;
b) Không sử dụng dữ liệu thẻ trong môi trường vận hành cho môi trường kiểm thử;
c) Loại bỏ toàn bộ dữ liệu và tài khoản kiểm thử trước khi đưa phần mềm vào sử dụng;
d) Đánh giá, xem xét lại mã nguồn phần mềm ứng dụng để phát hiện, khắc phục lỗ hổng bảo mật tiềm tàng trước
khi đưa vào sử dụng. Nhân sự thực hiện đánh giá phải độc lập với nhân sự phát triển mã nguồn ứng dụng.
4. Thực hiện các thủ tục kiểm soát sự thay đổi khi cập nhật các bản vá lỗ hổng bảo mật, thay đổi phần mềm ứng JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
dụng: thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
a) Xây dựng tài liệu đánh giá tác động đến toàn bộ hệ thống và được người có thẩm quyền phê duyệt trước khi thực nhà cung cấp.
hiện;
b) Không được làm ảnh hưởng đến tính an toàn bảo mật của hệ thống;
c) Thực hiện sao lưu, có kế hoạch dự phòng trước khi thực hiện thay đổi.
5. Khi phát triển mã nguồn ứng dụng cần kiểm tra, loại bỏ các lỗ hổng bảo mật trong ứng dụng, bao gồm: JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
a) Các lỗ hổng chèn mã lệnh truy vấn cơ sở dữ liệu (SQL injection), câu lệnh hệ điều hành (OS injection), các thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
phương tiện lưu trữ dữ liệu khác; nhà cung cấp.
b) Lỗi tràn bộ nhớ đệm;
c) Lỗi mã hoá không an toàn trong lưu trữ dữ liệu;
d) Lỗi không an toàn trong truyền thông;
đ) Rò rỉ thông tin qua thông báo lỗi (error handling);
e) Các nguy cơ chèn mã, đoạn mã javascript, jscript, DHTML, các thẻ HTML;
g) Các kiểm soát truy cập không đúng;
h) Các hình thức tấn công chiếm quyền xác thực của người sử dụng trên một website thông qua một website giả mạo
khác (Cross Site Request Forgery);
i) Lỗi trong quản lý phiên truy cập (session ID);
k) Các lỗ hổng bảo mật được xác định có mức độ cao được quy định tại Khoản 1 Điều này.
6. Các ứng dụng cung cấp dịch vụ trên các môi trường mạng bên ngoài (mạng internet, mạng không dây, mạng JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
truyền thông di động và các mạng khác) phải có các biện pháp để xử lý các mối đe dọa và lỗ hổng bảo mật, bao thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
gồm: nhà cung cấp.
a) Đánh giá an toàn bảo mật tối thiểu 01 lần/quý hoặc sau khi có sự thay đổi bằng các công cụ đánh giá tự động hoặc
thủ công;
b) Thực hiện các giải pháp kỹ thuật tự động phát hiện và phòng chống tấn công bằng thiết bị tường lửa ứng dụng
web (Web Application Firewall).
7. Phần mềm hệ thống thanh toán thẻ phải có tính năng lọc, không chấp nhận thanh toán cho các giao dịch không JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
được phép thực hiện theo quy định của pháp luật. thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
nhà cung cấp.
128
8. Thường xuyên rà soát bảo đảm các trang thiết bị phần cứng, phần mềm được hỗ trợ kỹ thuật từ nhà sản xuất. JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
nhà cung cấp.
Điều 6 Điều 6. Yêu cầu cấp phát và kiểm soát tài khoản truy cập vào hệ thống thanh toán thẻ
1. Việc truy cập vào tất cả thành phần hệ thống thông tin phục vụ thanh toán thẻ phải được xác thực bằng ít nhất một JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
trong các phương thức sau: mã khóa bí mật; thiết bị, thẻ xác thực; sinh trắc học.”. thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
nhà cung cấp.
2. Việc truy cập từ xa vào hệ thống mạng phải được xác thực bằng tối thiểu hai phương thức quy định tại Khoản 1 JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
Điều này. thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
nhà cung cấp.
3. Mã hoá toàn bộ mã khoá bí mật trên đường truyền và khi lưu trữ bằng các phương pháp mã hoá mạnh. JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
nhà cung cấp.
4. Thực hiện các biện pháp kiểm soát tài khoản vận hành và tài khoản quản trị:
a) Cấp phát tài khoản truy cập riêng biệt, phân quyền tương ứng cho từng cá nhân làm nhiệm vụ vận hành và quản
trị các thiết bị phục vụ thanh toán thẻ;
b) Kiểm soát việc thêm mới, xóa, sửa các định danh, thông tin tài khoản người sử dụng đúng mục tiêu quản lý;
c) Thu hồi hoặc vô hiệu hóa các tài khoản không kích hoạt sử dụng, hết hạn sử dụng, không hoạt động trong khoảng
thời gian tối đa 90 ngày kể từ lần truy cập gần nhất;
d) Thẩm tra, xác nhận lại danh tính người sử dụng khi nhận được yêu cầu gián tiếp qua email, điện thoại trước khi
thay đổi, phục hồi lại mã khoá bí mật tài khoản;
đ) Tài khoản cấp phát lần đầu phải thiết lập mã khoá bí mật và mã khoá bí mật đó trên các tài khoản phải khác nhau.
Tài khoản chỉ được hoạt động khi người dùng thay đổi mã khoá bí mật ban đầu;
e) Quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hoá các tài khoản không sử dụng, hết hạn sử dụng hoặc
các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian;
g) Việc cấp tài khoản truy cập từ xa cho tổ chức hỗ trợ hoạt động thẻ phải được giới hạn về thời gian, phải được
người có thẩm quyền phê duyệt và được giám sát hoạt động;
h) Không được chia sẻ hoặc dùng chung tài khoản để truy cập hệ thống; Đã đáp ứng
i) Tài khoản phải được thay đổi mã khoá bí mật tối thiểu 01 lần/quý; mã khoá bí mật phải có độ dài tối thiểu 07
(bảy) ký tự, bao gồm cả ký tự chữ và số (ngoại trừ PIN); mã khoá bí mật không được sử dụng lặp lại trong bốn lần
gần nhất;
k) Số lần nhập sai mã khoá bí mật tối đa được phép không quá 03 (ba) lần. Có biện pháp khoá tài khoản tự động khi
nhập sai mã khoá bí mật quá số lần quy định. Thời gian phục hồi tài khoản bị khoá sau khi nhập sai mã khoá bí mật
tối thiểu 30 phút hoặc theo yêu cầu;
l) Phiên làm việc với hệ thống thanh toán thẻ ở trạng thái chờ quá 15 phút hệ thống phải yêu cầu xác thực lại để vào
hệ thống;
m) Phổ biến và đào tạo các chính sách, quy trình truy cập và xác thực tài khoản vào hệ thống, đảm bảo các tổ chức,
cá nhân liên quan nắm rõ được quyền hạn, trách nhiệm khi được cấp tài khoản truy cập.
129
5. Ban hành chính sách và thủ tục xác thực tài khoản truy cập, trong đó phải bao gồm các nội dung:
a) Hướng dẫn lựa chọn và bảo vệ thông tin xác thực, mã khoá bí mật;
b) Hướng dẫn không dùng lại mã khoá bí mật đã sử dụng trước đó; Đã đáp ứng
c) Hướng dẫn thay đổi mã khoá bí mật định kỳ hoặc ngay khi có nghi ngờ mã khoá bí mật bị lộ.
6. Quản lý truy cập cơ sở dữ liệu thanh toán thẻ JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
a) Chỉ người quản trị cơ sở dữ liệu được trực tiếp truy cập cơ sở dữ liệu; thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
b) Người sử dụng khác khi truy cập cơ sở dữ liệu phải thông qua các chương trình ứng dụng có kiểm soát quyền hạn nhà cung cấp.
xem, nhập, xóa, thay đổi thông tin;
c) Không sử dụng các tài khoản truy cập cơ sở dữ liệu của chương trình ứng dụng cho cá nhân hoặc các tiến trình
khác;
d) Mã khoá bí mật của tài khoản truy cập cơ sở dữ liệu của ứng dụng phải được mã hoá trên ứng dụng và trong cơ sở
dữ liệu;
đ) Mọi thao tác trên cơ sở dữ liệu phải được ghi nhật ký và nhật ký phải được lưu giữ tối thiểu 01 năm.
Chương III Chương III CÁC YÊU CẦU KỸ THUẬT ĐỐI VỚI ATM
Điều 7 Điều 7. Các yêu cầu kỹ thuật lắp đặt và an toàn vật lý ATM
1. Yêu cầu về lắp đặt ATM Hiện tại JIVF không có máy ATM
a) Tổ chức hoạt động thẻ có cung cấp dịch vụ ATM (sau đây gọi chung là tổ chức cung cấp dịch vụ ATM) phải đảm
bảo các yêu cầu về việc lắp đặt ATM theo quy định của Ngân hàng Nhà nước Việt Nam về trang bị, quản lý, vận
hành và đảm bảo an toàn hoạt động của ATM.
b) Đối với ATM đặt bên ngoài
Ngoài các yêu cầu tại Điểm a Khoản 1 Điều này, tổ chức cung cấp dịch vụ ATM thực hiện thêm các biện pháp đảm
bảo an toàn cho ATM đặt bên ngoài đối với những nguy cơ mất an toàn vật lý sau:
- Có biện pháp đảm bảo ATM tránh bị kéo để di dời trái phép;
- Che giấu các thành phần, bộ phận ATM không cần thiết để lộ ra bên ngoài.
2. Yêu cầu về hệ thống báo động Hiện tại JIVF không có máy ATM
a) Tổ chức cung cấp dịch vụ ATM trang bị thiết bị cảm biến cho ATM đặt bên ngoài để cảnh báo tác động nhiệt từ
các thiết bị khò hàn và nhận biết các lực tác động với cường độ lớn, hoặc liên tục từ bên ngoài lên thân vỏ máy;
b) Tổ chức cung cấp dịch vụ ATM trang bị các thiết bị báo động cho ATM nhằm phòng chống:
- Mở cửa máy trái phép;
- Di dời trái phép khỏi khu vực đặt máy;
- Đập phá máy trái phép. Các thiết bị báo động ngoài việc phát tín hiệu báo động tại chỗ, phải gửi cảnh báo về trung
tâm giám sát.
3. Yêu cầu về két đựng tiền Hiện tại JIVF không có máy ATM
a) Tổ chức cung cấp dịch vụ ATM trang bị két đựng tiền của ATM làm bằng vật liệu chịu được lực tác động lớn,
chống được ăn mòn, tản nhiệt nhanh hoặc hấp thụ nhiệt chậm nhằm giảm thiểu mức độ hư hỏng vỏ két và tổn thất
tiền bên trong do tác động lực, hóa chất và nhiệt từ bên ngoài;
b) Két đựng tiền của ATM phải được trang bị ít nhất hai khóa, do hai người nắm giữ.
130
4. Bàn phím nhập mã PIN phải đạt các yêu cầu nêu tại Điều 13 Thông tư này. Hiện tại JIVF không có máy ATM
5. ATM phải có chứng nhận xuất xứ và có chứng nhận chất lượng của nhà sản xuất Hiện tại JIVF không có máy ATM
Điều 8 Điều 8. Các yêu cầu kỹ thuật về phần mềm, đường truyền, liên thông cho ATM
1. Tổ chức cung cấp dịch vụ ATM phải đảm bảo các yêu cầu về phần mềm của ATM Hiện tại JIVF không có máy ATM
a) Hệ điều hành máy ATM phải có bản quyền, được hỗ trợ bởi nhà cung cấp và được cập nhật bản vá lỗi kịp thời;
b) Hệ điều hành được cài đặt hoặc thiết lập phải đảm bảo phân tách các quyền khác nhau: quyền được sử dụng thiết
bị lưu trữ ngoài; quyền được phép thay đổi cấu hình và chạy các ứng dụng, dịch vụ;
c) Phần mềm giao dịch trên ATM phải được thiết lập tính năng thông báo bằng hình ảnh hoặc âm thanh để cảnh báo
người dùng các biện pháp an toàn trước khi nhập số PIN hoặc để thông báo người dùng nhận thẻ, nhận tiền sau khi
thực hiện giao dịch;
d) Phần mềm điều khiển thiết bị, phần mềm giao dịch phải được thiết lập các tính năng chống lại việc lộ thông tin
thẻ, thất thoát tiền do sai sót, gian lận hoặc do yếu tố lỗi kỹ thuật, các tính năng bao gồm:
- Khi phần mềm điều khiển thiết bị chi tiền hoặc phần mềm ghi nhật ký giao dịch điện tử không hoạt động, ATM
phải tự động dừng hoạt động chức năng rút tiền và tự động thông báo lỗi về trung tâm;
- Phần mềm giao dịch trên ATM phải thiết lập tính năng bắt buộc người dùng phải nhập lại số PIN khi thực hiện
giao dịch rút tiền tiếp theo; có thông báo nhắc nhở người dùng các biện pháp an toàn trước khi nhập số PIN và nhận
thẻ sau khi thực hiện giao dịch.
2. Yêu cầu đường truyền cho ATM Hiện tại JIVF không có máy ATM
Tổ chức cung cấp dịch vụ ATM thiết lập đường truyền cho ATM phải ngăn chặn được các truy cập Internet trừ các
kết nối về trung tâm để thực hiện giao dịch. Việc cập nhật bản vá lỗi hệ điều hành, phần mềm phòng chống virus và
các cập nhật khác tại ATM phải được thực hiện tại chỗ hoặc thông qua hệ thống tập trung nội bộ.
3. Yêu cầu về kết nối liên thông hệ thống thanh toán thẻ Hiện tại JIVF không có máy ATM
Hợp đồng, thỏa thuận kết nối liên thông hệ thống thanh toán thẻ qua ATM phải quy định dữ liệu được mã hóa và
trách nhiệm của các bên trong việc đảm bảo tính bí mật của khóa dùng cho mã hóa. Khóa dùng cho mã hóa phải
thay đổi tối thiểu 01 lần/năm.
Điều 9 Điều 9. Các yêu cầu về giám sát, an ninh hệ thống ATM
1. Tổ chức cung cấp dịch vụ ATM phải trang bị phần mềm quản lý tập trung, theo dõi đầy đủ tức thời về tình trạng Hiện tại JIVF không có máy ATM
của ATM.
131
2. Tổ chức cung cấp dịch vụ ATM có biện pháp kỹ thuật, hành chính để quản lý chặt chẽ hệ thống ATM, phát hiện Hiện tại JIVF không có máy ATM
kịp thời các truy cập bất hợp pháp, lắp đặt trái phép thiết bị sao chép thông tin thẻ hoặc ghi hình các thao tác người
sử dụng
a) Có hệ thống giám sát giao dịch trên hệ thống thanh toán thẻ, liên tục theo dõi nhằm phát hiện giao dịch thanh toán
thẻ đáng ngờ, gian lận dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần nhập PIN sai quá
quy định và các dấu hiệu bất thường khác để kịp thời xử lý và cảnh báo cho chủ thẻ;
b) Hình ảnh ghi được của camera phải đủ rõ nét để phục vụ yêu cầu giải quyết tra soát, khiếu nại.
3. Dữ liệu nhật ký trên ATM phải được sẵn sàng truy cập trong thời gian tối thiểu 03 tháng và lưu trữ tối thiểu 01 Hiện tại JIVF không có máy ATM
năm.
4. Tổ chức cung cấp dịch vụ ATM đảm bảo các yêu cầu khác về an toàn hoạt động ATM theo quy định của Ngân Hiện tại JIVF không có máy ATM
hàng Nhà nước Việt Nam về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của ATM.
Chương IV Chương IV CÁC YÊU CẦU KỸ THUẬT ĐỐI VỚI MÁY POS
Điều 10 Điều 10. Các yêu cầu đối với máy POS
1. TCTTT, TCTGTT và ĐVCNT phải có thỏa thuận rõ về trách nhiệm của ĐVCNT, bao gồm: Hiện tại JIVF không có máy POS
a) Quản lý, bảo vệ, lắp đặt máy POS tại nơi an toàn. Có biện pháp phòng chống việc sử dụng trái phép, trộm cắp
máy POS, lắp đặt các thiết bị đọc trộm dữ liệu thẻ trên máy POS;
b) Lắp đặt nguồn điện, đường truyền đúng theo yêu cầu kỹ thuật của nhà sản xuất;
c) Máy POS phải có tên và logo của TCTTT.
2. Máy POS phải có chứng nhận xuất xứ và có chứng nhận chất lượng của nhà sản xuất. Hiện tại JIVF không có máy POS
3. Trên tất cả các máy POS phải có số điện thoại liên hệ của TCTTT. Hiện tại JIVF không có máy POS
4. Bàn phím nhập mã PIN phải đạt các yêu cầu nêu tại Điều 13 Thông tư này. Hiện tại JIVF không có máy POS
5. TCTTT, TCPHT phải có hệ thống giám sát, cảnh báo các giao dịch bất thường (số lượng, giá trị, thời gian, địa Hiện tại JIVF không có máy POS
điểm giao dịch).
Điều 11 Điều 11. Các yêu cầu đối với máy Mpos
1. TCTTT, TCTGTT và ĐVCNT phải có thỏa thuận rõ về tiêu chuẩn kỹ thuật và trách nhiệm kiểm tra giám sát hoạt Hiện tại JIVF không có máy POS
động của máy mPOS đáp ứng tối thiểu các yêu cầu sau:
a) Yêu cầu đối với thiết bị thông tin di động cài đặt phần mềm mPOS
- Thiết bị không bị bẻ khóa (jailbreaking hoặc rooting), tắt các kết nối không cần thiết cho việc sử dụng thanh toán;
- Thiết lập thêm các tính năng bảo mật phòng chống bị mất, trộm cắp (tính năng theo dõi vị trí qua GPS, mã hóa ổ
đĩa lưu trữ). Đồng thời, ĐVCNT phải quản lý thông tin về số serial, phiên bản phần mềm của thiết bị.
b) Yêu cầu đối với phần mềm mPOS;
- Phần mềm mPOS được cài đặt theo hướng dẫn của đơn vị cung cấp giải pháp hoặc TCTTT;
- Phần mềm mPOS không được phép thanh toán khi thiết bị mPOS không kết nối được về trung tâm thanh toán thẻ
và không được lưu trữ các giao dịch thẻ;
- Màn hình mPOS phải hiển thị tình trạng sẵn sàng phục vụ để người dùng biết;
- Hóa đơn thanh toán được gửi đến khách hàng qua email, SMS hoặc được in ra (khi có yêu cầu), trong đó số thẻ
phải được che giấu (chỉ hiển thị tối đa 06 (sáu) số đầu và 04 (bốn) số cuối).
2. TCTTT phải công bố danh sách các ĐVCNT đã đăng ký sử dụng máy mPOS để chấp nhận thanh toán trên Hiện tại JIVF không có máy POS
website của đơn vị hoặc các phương tiện truyền thông khác (nếu có).
Chương V Chương V BẢO VỆ DỮ LIỆU THẺ
132
Điều 12 Điều 12. Chính sách an toàn bảo mật thông tin thẻ
1. Tổ chức hoạt động thẻ phải lập và cập nhật danh sách các trang thiết bị phục vụ thanh toán thẻ và mô tả chức năng JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
liên quan đến hệ thống thanh toán thẻ. thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
nhà cung cấp.
2. Tổ chức hoạt động thẻ phải thiết lập, công bố, duy trì và phổ biến chính sách an toàn bảo mật trong toàn đơn vị. JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
Đánh giá chính sách an toàn bảo mật ít nhất 01 lần/năm và cập nhật chính sách khi thiết bị phục vụ thanh toán thẻ có thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
thay đổi. nhà cung cấp.
3. Tổ chức hoạt động thẻ phải thực hiện quy trình đánh giá rủi ro ít nhất 01 lần/năm và ngay sau khi hệ thống có JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
thay đổi về sơ đồ mạng, an ninh bảo mật, bổ sung hệ thống máy chủ dịch vụ hoặc bổ sung, sửa đổi nghiệp vụ. thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
nhà cung cấp.
4. Tổ chức hoạt động thẻ phải xây dựng và triển khai thực hiện quy định về việc sử dụng các công nghệ có rủi ro cao JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
(các truy cập từ xa, mạng không dây, sử dụng các thiết bị di động, email và Internet). Nội dung quy định bao gồm thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
các yêu cầu sau: nhà cung cấp.
a) Phải được người có thẩm quyền phê duyệt trước khi sử dụng;
b) Phải được xác thực bằng tài khoản và mã khóa bí mật hoặc phương pháp xác thực khác trước khi sử dụng;
c) Liệt kê và giám sát hoạt động toàn bộ danh sách các thiết bị, công nghệ và người dùng được cấp quyền sử dụng;
d) Có phương pháp để xác định dễ dàng và thuận tiện người sở hữu, thông tin liên hệ và mục đích sử dụng của thiết
bị (bằng cách dán nhãn, ghi mã vạch hoặc kiểm kê các thiết bị);
đ) Xác định phạm vi áp dụng công nghệ có rủi ro cao;
e) Xác định các vị trí hệ thống mạng sử dụng công nghệ có rủi ro cao;
g) Đối với các truy cập từ xa phải tự động ngắt kết nối phiên làm việc một thời gian cụ thể khi hệ thống không hoạt
động;
h) Chỉ kích hoạt truy cập từ xa cho tổ chức hỗ trợ hoạt động thẻ khi thực sự cần thiết theo yêu cầu và đồng thời phải
vô hiệu hóa truy cập ngay sau phiên làm việc kết thúc;
i) Khi cấp quyền truy cập từ xa vào dữ liệu chủ thẻ phải thực hiện các biện pháp kỹ thuật cấm sao chép, di chuyển và
lưu trữ dữ liệu chủ thẻ vào các ổ cứng, phương tiện mang tin, thiết bị ngoại vi. Đối với trường hợp đặc biệt cần thực
hiện sao chép, di chuyển, lưu trữ dữ liệu chủ thẻ bằng truy cập từ xa, phải quy định rõ ràng trách nhiệm bảo vệ dữ
liệu chủ thẻ theo các quy định tại Thông tư này.
5. Tổ chức hoạt động thẻ phải quy định rõ ràng trách nhiệm bảo vệ an toàn bảo mật dữ liệu thẻ đối với các tổ chức, Đã đáp ứng
cá nhân thuộc đơn vị mình và các bên liên quan
6. Phân công nhiệm vụ trong quản lý đảm bảo an toàn thông tin thẻ Đã đáp ứng
a) Giám sát và phân tích các thông tin, cảnh báo về rủi ro an ninh thông tin và chuyển thông tin đến bộ phận có trách
nhiệm để phối hợp giải quyết;
b) Có biện pháp ứng phó sự cố kịp thời để kiểm soát được mọi tình huống;
c) Quản lý tài khoản người dùng trên hệ thống;
d) Giám sát và kiểm soát toàn bộ truy cập đến dữ liệu;
đ) Việc phân công được lập thành văn bản.
7. Tổ chức hoạt động thẻ phải thực hiện đào tạo nhận thức về an ninh bảo mật thẻ cho nhân viên khi mới tuyển dụng Đã đáp ứng
và định kỳ ít nhất 01 lần/năm cho toàn bộ nhân viên; phải kiểm tra, kiểm soát đảm bảo nhân viên trong đơn vị nhận
thức được các chính sách an toàn bảo mật thẻ.
133
8. Tổ chức hoạt động thẻ phải thiết lập và duy trì quy trình, chính sách quản lý tổ chức hỗ trợ hoạt động thẻ có chia Đã đáp ứng
sẻ dữ liệu hoặc có ảnh hưởng đến an toàn bảo mật dữ liệu thẻ. Quy trình, chính sách quản lý đáp ứng tối thiểu các
yêu cầu sau:
a) Cập nhật danh sách tổ chức hỗ trợ hoạt động thẻ;
b) Tổ chức hoạt động thẻ phải thực hiện lựa chọn các tổ chức hỗ trợ hoạt động thẻ trước khi ký kết, thỏa thuận hợp
đồng. Quá trình lựa chọn phải thể hiện rõ yêu cầu của đơn vị đối với tổ chức hỗ trợ hoạt động thẻ, hồ sơ đáp ứng yêu
cầu của tổ chức hỗ trợ hoạt động thẻ phải đáp ứng an toàn bảo mật thông tin thẻ;
c) Hợp đồng với các tổ chức hỗ trợ hoạt động thẻ phải quy định rõ trách nhiệm của tổ chức hỗ trợ hoạt động thẻ tuân
thủ các quy định có liên quan tại Thông tư này. Phải có cam kết bằng văn bản các điều khoản và trách nhiệm trong
đó tổ chức hỗ trợ hoạt động thẻ cung cấp dịch vụ có trách nhiệm đảm bảo an toàn bảo mật thông tin thẻ trong các
dịch vụ mình cung cấp hoặc lưu giữ, xử lý, trao đổi thông tin. Cam kết phải nêu rõ phạm vi cung cấp và dịch vụ
được tổ chức hỗ trợ hoạt động thẻ cung cấp;
d) Tổ chức hoạt động thẻ phải tổ chức quản lý, cập nhật thông tin về các tổ chức hỗ trợ hoạt động thẻ đáp ứng theo
các yêu cầu Thông tư này.
9. Tổ chức hoạt động thẻ phải xây dựng quy trình và thực hiện ứng phó các sự cố để đảm bảo xử lý được ngay khi Đã đáp ứng
có sự cố xảy ra. Quy trình ứng phó sự cố đáp ứng tối thiểu các yêu cầu sau:
a) Vai trò, trách nhiệm, truyền thông và liên lạc của các cá nhân, tổ chức trong trường hợp xảy ra xâm phạm hệ
thống;
b) Có kịch bản cụ thể để ứng phó sự cố;
c) Có kịch bản phục hồi và đảm bảo hoạt động liên tục;
d) Có kịch bản sao lưu dữ liệu;
đ) Kiểm thử quy trình tối thiểu 01 lần/năm;
e) Phân công nhân sự cụ thể để sẵn sàng ứng phó sự cố 24/7;
g) Thực hiện các chương trình đào tạo cho nhân viên để đáp ứng công việc ứng phó sự cố về an toàn bảo mật thẻ;
h) Quy trình ứng phó sự cố bao gồm cả các cảnh báo từ hệ thống giám sát an ninh (các hệ thống phát hiện, phòng
chống xâm nhập, thiết bị tường lửa và hệ thống giám sát tính toàn vẹn của các tệp tin dữ liệu);
i) Thực hiện sửa đổi và hoàn thiện quy trình ứng phó sự cố thông qua bài học kinh nghiệm và đáp ứng sự phát triển
về công nghệ thông tin.
Điều 13 Điều 13. Các yêu cầu đối với bàn phím nhập số PIN
1. Bàn phím dùng để nhập số PIN phải tự hủy được các thông tin nhạy cảm lưu trữ trong đó bao gồm các khóa mã Hiện tại JIVF không có bàn phím nhập số PIN
hóa, PIN, mã khóa bí mật và không thể khôi phục lại được thông tin này khi bị xâm nhập vật lý.
2. Âm thanh khi gõ một phím không phân biệt được với âm thanh khi gõ phím khác. Ngoài ra không thể xác định Hiện tại JIVF không có bàn phím nhập số PIN
được bất kỳ ký tự PIN nào được nhập bằng cách theo dõi điện từ, điện năng tiêu thụ.
3. Số PIN phải được mã hóa ngay sau khi nhập xong (người dùng ấn Enter). Bộ nhớ đệm tự động được xóa sau khi Hiện tại JIVF không có bàn phím nhập số PIN
giao dịch kết thúc hoặc hết thời gian chờ.
4. Các tính năng an toàn của bàn phím không bị thay đổi bởi điều kiện môi trường, điều kiện vận hành. Hiện tại JIVF không có bàn phím nhập số PIN
Điều 14 Điều 14. Bảo vệ vùng lưu trữ dữ liệu thẻ
134
1. Lưu trữ, phục hồi, hủy thông tin, dữ liệu thẻ Đã đáp ứng
a) Thực hiện chính sách, thủ tục, quy trình lưu trữ và hủy dữ liệu chủ thẻ; hạn chế lượng dữ liệu, thời gian cần lưu
trữ đáp ứng theo yêu cầu nghiệp vụ và quy định của pháp luật về lưu trữ; hàng quý thực hiện xác định và xóa an
toàn dữ liệu chủ thẻ vượt quá thời gian cần lưu trữ; tuân thủ các quy định về lưu dữ liệu chủ thẻ, bao gồm các quy
định về thời hạn bảo quản hồ sơ, tài liệu lưu trữ trong ngành ngân hàng;
b) Dữ liệu xác thực thẻ phải đảm bảo: Giữ bí mật trong hoạt động in ấn, phát hành thẻ; cá nhân hoặc tổ chức khi xử
lý dữ liệu xác thực thẻ phải cam kết không tiết lộ thông tin; không lưu trữ dữ liệu xác thực thẻ sau khi đã xác thực,
kể cả thông tin đã mã hóa tại giao dịch đến, các tập tin dữ liệu nhật ký, tập tin lịch sử, tập tin theo dõi, các bảng sơ
đồ dữ liệu và các nội dung cơ sở dữ liệu;
c) Số thẻ phải được che giấu phù hợp khi hiển thị (chỉ hiển thị tối đa 6 số đầu và 4 số cuối) và chỉ được hiển thị đầy
đủ cho: chủ thẻ, cơ quan nhà nước có thẩm quyền theo quy định của pháp luật, một số nhân viên theo yêu cầu công
việc được người có thẩm quyền phê duyệt;
d) Đảm bảo số thẻ không đọc được tại các nơi lưu trữ bằng cách sử dụng một trong các phương pháp sau:
- Phương pháp sử dụng hàm băm một chiều (hàm hash) dựa trên thuật toán mã hóa mạnh;
- Phương pháp phân tách, cắt bớt dữ liệu đảm bảo không đọc được toàn bộ dữ liệu khi lưu trữ trên các tập tin, cơ sở
dữ liệu, dữ liệu nhật ký;
- Sử dụng hệ thống mật mã sử dụng một lần, trong đó đảm bảo thiết bị nhận mã phải được giữ bí mật;
- Phương pháp mã hóa mạnh với quy trình và thủ tục quản lý khóa phải được tuân thủ;
- Sử dụng phương pháp mã hóa ổ đĩa trong đó đảm bảo thực hiện mã hóa các tập tin thông qua cơ chế riêng biệt và
độc lập với cơ chế kiểm soát truy cập và xác thực trên nền hệ điều hành có sẵn.
2. Quy định mã hóa dữ liệu tại vùng lưu trữ dữ liệu thẻ JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
a) Các khóa dùng trong mã hóa phải được lưu trữ và có biện pháp đảm bảo an toàn tránh nguy cơ lộ thông tin: thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
- Giới hạn số lượng người có quyền truy cập đến khóa mã hóa; nhà cung cấp.
- Lưu giữ các khóa riêng dùng để mã hóa, giải mã dữ liệu chủ thẻ trong mọi thời điểm theo một trong các phương
thức sau:
+ Lưu trữ trong thiết bị chuyên dụng hoặc thiết bị bảo mật PIN trong giao dịch;
+ Lưu giữ khóa thành tối thiểu hai phần riêng biệt.
+ Thực hiện mã hóa khóa bằng thuật toán phải mạnh bằng hoặc mạnh hơn thuật toán dùng để mã hóa dữ liệu. Khóa
để mã hóa khóa phải được lưu trữ tách biệt với khóa để mã hóa dữ liệu;
b) Ban hành quy trình thực hiện tất cả các công việc liên quan đến quản lý khóa và thủ tục mã hóa để mã hóa dữ liệu
chủ thẻ bao gồm:
- Quá trình tạo ra các khóa mã hóa;
- Phân phối khóa mã hóa;
- Lưu giữ khóa mã hóa;
- Định kỳ thay đổi các khóa khi hết vòng đời sử dụng;
- Thay thế hoặc thu hồi các khóa khi có nghi ngờ bị lộ, bị sửa đổi.
c) Quản lý khóa mã hóa phải đáp ứng tối thiểu các yêu cầu sau:
- Nếu sử dụng các khóa mã hóa dưới dạng bản rõ (clear text) phải đảm bảo khóa này được chia thành nhiều phần
quản lý bởi tối thiểu hai người, mỗi người giữ một phần khóa mã hóa;
- Ngăn ngừa việc thay thế các khóa mã hóa khi chưa được phép;
- Phải quy định rõ trách nhiệm của người giữ khóa mã hóa.
Điều 15 Điều 15. Mã hóa dữ liệu thẻ trên đường truyền qua mạng bên ngoài
135
1. Sử dụng các phương pháp mã hóa mạnh và các giao thức bảo mật thích hợp để bảo vệ dữ liệu xác thực thẻ trong JIVF không thực hiện truyền thông tin dữ liệu
quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng Internet, mạng không dây, mạng truyền thông di xác thực thẻ qua mạng kết nối với bên ngoài
động và các mạng khác). (mạng internet, mạng không dây, mạng truyền
thông di động và các mạng khác).
2. Khi gửi số thẻ đến người sử dụng thông qua thông điệp điện tử, số phải được mã hóa bằng phương pháp mã hóa JIVF không gửi số thẻ đến chủ thẻ thông qua
mạnh. thông điệp điện tử.
Điều 16 Điều 16. Hạn chế quyền truy cập đến dữ liệu thẻ
1. Các truy cập và xử lý trên dữ liệu thẻ phải đảm bảo được phân quyền đúng và ở mức tối thiểu đủ để thực hiện Đã đáp ứng
nhiệm vụ của từng cá nhân.
2. Xây dựng chính sách hạn chế quyền truy cập từ xa, từ vùng mạng bên ngoài vào hệ thống. Giám sát hoạt động, JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
ghi nhật ký thời gian truy cập vào hệ thống. thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
nhà cung cấp.
3. Việc cấp quyền truy cập các hệ thống thanh toán thẻ phải được người có thẩm quyền phê duyệt bằng văn bản. Đã đáp ứng
4. Thiết lập biện pháp, hệ thống kiểm soát truy cập cho toàn bộ các thiết bị phục vụ thanh toán thẻ, đảm bảo giới hạn JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
các truy cập theo đúng chức trách, nhiệm vụ được giao; các truy cập không hợp lệ phải bị loại bỏ. thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
nhà cung cấp.
Điều 17 Điều 17. Hạn chế quyền truy cập vật lý tới dữ liệu thẻ
1. Thực hiện các kiểm soát ra, vào tới khu vực đặt hệ thống thanh toán thẻ, trung tâm dữ liệu thẻ, các môi trường vật JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
lý có dữ liệu thẻ: thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
a) Thiết lập kiểm soát các điểm kết nối mạng có dây và không dây tại các khu vực công cộng đảm bảo giới hạn nhà cung cấp.
quyền truy cập. Kiểm soát việc truy cập vật lý các thiết bị di động, các thiết bị truyền thông, thiết bị mạng và các
đường điện thoại, viễn thông;
b) Sử dụng camera hoặc biện pháp giám sát phù hợp khác để giám sát việc vào, ra các khu vực phòng máy chủ, khu
vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu chủ thẻ. Các dữ liệu giám sát phải được lưu trữ, bảo vệ an toàn và sẵn
sàng truy cập tối thiểu 03 tháng.
2. Xây dựng thủ tục để nhận biết được nhân viên và các cá nhân bên ngoài (tổ chức hỗ trợ hoạt động thẻ, khách) đến JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
làm việc bao gồm: thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
a) Thủ tục để nhận biết nhân viên mới, cá nhân bên ngoài; nhà cung cấp.
b) Thủ tục để thay đổi các yêu cầu truy cập và thu hồi quyền truy cập của nhân viên khi thôi việc, các cá nhân bên
ngoài khi hết hạn.
3. Kiểm soát truy cập vật lý đối với nhân viên khi đến phòng máy chủ, khu vực in ấn phát hành thẻ, nơi lưu trữ, xử JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
lý dữ liệu chủ thẻ đáp ứng yêu cầu sau: thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
a) Truy cập phải được cấp quyền dựa trên yêu cầu công việc của mỗi cá nhân; nhà cung cấp.
b) Quyền truy cập phải được thu hồi ngay khi công việc kết thúc, tất cả các công cụ dùng để truy cập (chìa khóa, thẻ
truy cập) phải được thu hồi hoặc vô hiệu hóa.
136
4. Thực hiện các thủ tục để nhận diện và cấp phép cho các cá nhân bên ngoài khi ra vào khu vực lưu trữ, xử lý dữ JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
liệu chủ thẻ thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
a) Các cá nhân bên ngoài phải được cho phép trước khi vào và được giám sát toàn thời gian tại khu vực lưu trữ, xử nhà cung cấp.
lý dữ liệu chủ thẻ;
b) Các cá nhân bên ngoài phải được nhận diện bằng thẻ hoặc phương thức khác có thời hạn hiệu lực và phải nhận
diện được bằng mắt thường;
c) Các cá nhân bên ngoài phải được yêu cầu thu hồi thẻ hoặc phương thức nhận diện khác trước khi rời khỏi đơn vị
hoặc khi hết thời gian hiệu lực;
d) Nhật ký ra, vào của cá nhân bên ngoài phải được lưu giữ bằng các hình thức văn bản hoặc điện tử tối thiểu 01
năm.
5. Phương tiện chứa dữ liệu sao lưu của hệ thống thanh toán thẻ phải bảo quản tại nơi an toàn. Địa điểm bảo quản Đã đáp ứng
phải được kiểm tra đảm bảo các điều kiện an toàn ít nhất 01 lần/năm.
6. Đảm bảo an toàn các tài sản vật lý, các thông tin, hồ sơ quan trọng liên quan đến hoạt động thẻ, phương tiện mang Đã đáp ứng
tin. Kiểm soát việc vận chuyển phương tiện mang tin đảm bảo an toàn dữ liệu thẻ. Phải được người có thẩm quyền
phê duyệt trước khi bàn giao, di chuyển, phân phối các phương tiện mang tin.
7. Thực hiện kiểm soát chặt chẽ việc lưu trữ và truy cập tới phương tiện mang tin. Tiến hành kiểm kê tài sản, các Đã đáp ứng
phương tiện mang tin tối thiểu 01 lần/năm.
8. Các thiết bị đọc dữ liệu thẻ phải được giám sát bảo vệ đảm bảo các yêu cầu sau: JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
a) Thường xuyên cập nhật danh sách các thiết bị, các thông tin về nhà sản xuất, mẫu thiết bị, nơi đặt thiết bị, mã thiết thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
bị (serial, product number); nhà cung cấp.
b) Định kỳ kiểm tra các bề mặt của thiết bị nhằm phát hiện giả mạo hoặc các thành phần bị gắn thêm vào bằng cách
kiểm tra các đặc điểm để nhận dạng hoặc số serial của thiết bị;
c) Người quản lý, sử dụng thiết bị phải được đào tạo để nhận biết các nguy cơ giả mạo hoặc thay thế trên thiết bị
nhằm đánh cắp thông tin thẻ. Nội dung đào tạo bao gồm:
- Xác minh danh tính tổ chức hỗ trợ hoạt động thẻ trước khi cho phép tham gia vào quá trình sửa chữa, bảo trì, khắc
phục lỗi của thiết bị;
- Kiểm tra, xác minh thiết bị trước khi cho phép cài đặt, thay thế hoặc hoàn trả thiết bị;
- Nhận biết được nguy cơ, hành vi đáng ngờ xung quanh thiết bị;
- Báo cáo các nguy cơ, hành vi giả mạo hoặc thay thế trái phép thiết bị đến người có thẩm quyền.
9. Phá hủy hồ sơ, tài liệu chứa dữ liệu thẻ bằng hình thức cắt thành các miếng nhỏ, đốt hoặc nghiền nát đảm bảo dữ Đã đáp ứng
liệu thẻ không thể đọc hoặc tái tạo lại. Phương tiện mang tin điện tử chứa thông tin chủ thẻ được hủy bằng các
chương trình xóa dữ liệu chuyên dụng hoặc bằng các biện pháp hủy vật lý, khử từ đảm bảo dữ liệu chủ thẻ không
thể đọc và khôi phục.
Điều 18 Điều 18. Giám sát, bảo vệ và kiểm tra các trang thiết bị phục vụ thanh toán thẻ
137
1. Theo dõi và giám sát toàn bộ truy cập tới tài nguyên và dữ liệu chủ thẻ JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
a) Thực hiện ghi dữ liệu nhật ký toàn bộ truy cập đến các thiết bị phục vụ thanh toán thẻ để lưu vết tất cả các hành vi thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
của người sử dụng; nhà cung cấp.
b) Thực hiện tự động ghi dữ liệu nhật ký truy cập đến toàn bộ thiết bị phục vụ thanh toán thẻ để xác định lại các sự
kiện sau:
- Tất cả truy cập của người sử dụng đến dữ liệu chủ thẻ;
- Tất cả hành động của người sử dụng có tài khoản đặc quyền;
- Các truy cập đến toàn bộ dữ liệu nhật ký;
- Các cố gắng truy cập không được phép vào hệ thống;
- Quản lý người sử dụng (bao gồm các sự kiện tạo mới tài khoản và nâng quyền quản trị, các thay đổi hoặc xóa tài
khoản của tài khoản quản trị);
- Khởi tạo, chấm dứt hoặc tạm ngừng việc ghi dữ liệu nhật ký;
- Khởi tạo hoặc xóa các dữ liệu, tài nguyên, chức năng, dịch vụ trên thiết bị phục vụ thanh toán thẻ.
c) Dữ liệu nhật ký của mỗi sự kiện (quy định tại Điểm b Khoản 1 Điều này) bao gồm tối thiểu các thông tin sau:
- Định danh người sử dụng;
- Loại sự kiện;
- Ngày, tháng và thời gian;
- Trạng thái thành công hoặc thất bại;
- Nguồn gốc của sự kiện;
- Tên hoặc định danh của dữ liệu, tài nguyên hoặc chức năng, dịch vụ bị ảnh hưởng bởi sự kiện.
d) Phải có hệ thống đồng bộ thời gian đối với hệ thống máy chủ, hệ thống ATM phục vụ thanh toán thẻ;
đ) Bảo vệ các dữ liệu nhật ký:
- Giới hạn quyền được xem dữ liệu nhật ký tối thiểu theo nhu cầu công việc;
- Bảo vệ các tập tin dữ liệu nhật ký nhằm tránh sửa đổi trái phép;
- Sao lưu dữ liệu nhật ký đến các máy chủ tập trung hoặc phương tiện mang tin;
e) Tổ chức hoạt động thẻ phải sử dụng công cụ để giám sát tính toàn vẹn của tập tin dữ liệu nhật ký hoặc phần mềm
phát hiện thay đổi dữ liệu nhật ký;
g) Tổ chức hoạt động thẻ phải tiến hành xem xét, đánh giá các dữ liệu nhật ký và các sự kiện an ninh trên toàn bộ
thiết bị phục vụ thanh toán thẻ để xác định hoạt động bất thường, hoạt động nghi ngờ bằng cách sử dụng các công cụ
phân tích, khai thác và cảnh báo dựa trên dữ liệu nhật ký, cụ thể như sau:
- Tổ chức hoạt động thẻ phải đánh giá hàng ngày tối thiểu các nội dung dữ liệu nhật ký sau:
138
2. Kiểm tra về an ninh hệ thống thanh toán thẻ JIVF sử dụng dịch vụ thuê ngoài cho hệ thống
a) Tổ chức hoạt động thẻ phải thực hiện kiểm soát các điểm truy cập mạng không dây. Có danh sách các điểm truy thẻ. JIVF thực hiện kiểm tra việc tuân thủ của
cập không dây (nếu có) được phép kết nối vào mạng của đơn vị, giải thích rõ mục đích sử dụng và được người có nhà cung cấp.
thẩm quyền phê duyệt. Định kỳ hàng quý rà soát các điểm truy cập mạng không dây kết nối vào mạng nội bộ của
đơn vị;
b) Tổ chức hoạt động thẻ phải dò quét, đánh giá các lỗ hổng bảo mật hệ thống công nghệ thông tin từ bên trong và
bên ngoài mạng đơn vị tối thiểu 01 lần/quý và ngay sau khi có bất cứ thay đổi quan trọng nào trong hệ thống (bao
gồm: bổ sung thêm các thiết bị; thay đổi mô hình mạng; các thay đổi chính sách truy cập của thiết bị tường lửa; nâng
cấp, cập nhật hệ điều hành, ứng dụng). Thực hiện khắc phục ngay các lỗ hổng bảo mật ở mức độ cao được xác định
theo Khoản 1 Điều 5 Thông tư này;
c) Tổ chức hoạt động thẻ phải tổ chức diễn tập kịch bản thử nghiệm xâm nhập theo các yêu cầu sau:
- Thử nghiệm xâm nhập toàn bộ các hệ thống có lưu trữ, xử lý dữ liệu chủ thẻ;
- Thực hiện thử nghiệm xâm nhập từ bên trong và bên ngoài hệ thống ít nhất 01 lần/năm và ngay sau khi có sự thay
đổi quan trọng trong hệ thống hoặc phát hiện được các lỗ hổng sau khi dò quét;
- Thử nghiệm xâm nhập hệ thống dựa trên các hướng dẫn của các tổ chức uy tín về hoạt động thử nghiệm xâm nhập
và an toàn bảo mật;
- Thử nghiệm xâm nhập khai thác các lỗ hổng được liệt kê tại Khoản 5 Điều 5 của Thông tư này;
- Thử nghiệm xâm nhập đối với cả mức mạng và mức ứng dụng;
- Đánh giá và xem xét các mối đe dọa và lỗ hổng bảo mật đã xảy ra trong 12 tháng qua;
- Lưu trữ theo chế độ mật kết quả thử nghiệm xâm nhập và kết quả hành động khắc phục;
- Các lỗ hổng có thể bị khai thác được phát hiện được trong quá trình thử nghiệm xâm nhập phải được khắc phục và
kiểm tra lại đảm bảo các lỗ hổng được khắc phục.
d) Tổ chức hoạt động thẻ phải sử dụng hệ thống phát hiện và phòng chống xâm nhập để phát hiện và ngăn chặn các
xâm nhập trái phép vào hệ thống mạng, giám sát toàn bộ các truy cập đến môi trường dữ liệu chủ thẻ và cảnh báo
cho người quản trị các nguy cơ bị xâm phạm. Các thiết bị phòng chống xâm nhập phải được cập nhật các dấu hiệu
mã độc mới từ nhà cung cấp;
đ) Tổ chức hoạt động thẻ phải kiểm tra tính toàn vẹn đối với các dữ liệu quan trọng (các tập tin hệ thống, các tập tin
cấu hình, các tập tin nội dung) tối thiểu hàng tháng
i) Ban hành chính sách, quy trình thực hiện giám sát tất cả các truy cập tới tài nguyên mạng, dữ liệu chủ thẻ và phổ
biến cho tất cả các cá nhân, bộ phận liên quan đến nghiệp vụ thẻ của tổ chức
Điều 19 Điều 19. Yêu cầu về đảm bảo hoạt động liên tục
1. Tổ chức hoạt động thẻ xây dựng quy trình khắc phục sự cố, quản lý rủi ro đối với hệ thống thanh toán thẻ, định kỳ Đã đáp ứng
tiến hành rà soát, cập nhật quy trình tối thiểu 01 lần/năm.
2. Hệ thống công nghệ thông tin phục vụ cho hoạt động thanh toán thẻ phải đảm bảo khả năng dự phòng tại chỗ và Đã đáp ứng
dự phòng thảm họa. Hệ thống dự phòng thảm họa phải thay thế hệ thống chính trong thời gian không quá 04 giờ kể
từ khi hệ thống chính bị sự cố.
3. Tối thiểu 02 lần/năm, hệ thống thanh toán thẻ phải được chuyển hoạt động từ hệ thống chính sang hệ thống dự Đã đáp ứng
phòng để đảm bảo tính đồng nhất và sẵn sàng của hệ thống dự phòng.
Ghi chú:
1. Cột “Nội dung đã triển khai tại đơn vị”: Trình bày vắn tắt về các công tác đã thực hiện, tối thiểu gồm các nội dung đã nêu trong mẫu báo cáo. Ngoài ra có thể trình bày thêm về các nội dung khác
139
140
Giải pháp, kế hoạch triển
Mức độ tuân thủ
khai để đáp ứng (Nếu có)
141
3
142
3
143
3
144
3
145
3
146
3
3
3
3
3
147
148
3
149
3
150
3
151
3
152
3
153
3
thêm về các nội dung khác như đã nêu trong TT47.
154
X. ĐỀ XUẤT, KIẾN NGHỊ
Khó khăn vướng mắc của đơn vị khi thực Đề xuất nội dung cụ thể cần sửa
TT Văn bản, Điều, Khoản
hiện tuân thủ và nguyên nhân cụ thể đổi hoặc bổ sung mới
I Thông tư 09/2020/TT-NHNN
1.1 Điều x
1.2 Điều y
…
II Thông tư 35/2016/TT-NHNN (được sửa đổi bổ sung)
2.1 Điều x
2.2 Điều y
…
III Điều 47/2014/TT-NHNN (được sửa đổi, bổ sung)
3.1 Điều x
3.2 Điều y
…
IV Các văn bản/ ý kiến khác
4.1 Mục x
4.2 Mục y
…

Phieu Khao Sat Ung Dung CNTT Va Tuan Thu VBQPPL CNTT Nam 2022 - Final

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Phieu Khao Sat Ung Dung CNTT Va Tuan Thu VBQPPL CNTT Nam 2022 - Final

Uploaded by

Copyright:

Available Formats

PHIẾU KHẢO SÁT VỀ HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN VÀ

I THÔNG TIN CHUNG:

Cập nhật bản vá lỗ Tài khoản

Khi được yêu cầu 0 0 0

Khi được yêu cầu 0 0

Khi được yêu cầu 0 0 0

Khi được yêu cầu 0 0 0

Khi được yêu cầu 0 0 0

Khi được yêu cầu 0 0 0

Khi được yêu cầu 0 0 0

Cán bộ CNTT chuyên trách là cán bộ

Là cán bộ chuyên trách về CNTT của

Số lượng nhân sự đạt chứng chỉ CNTT quốc

Số lượng nhân sự chuyên trách về ATTT đạt

2.1.2 Trung tâm dữ liệu dự phòng thảm họa (TTDL

- Địa điểm đặt TTDLDP: CMC-Hà Nội

2.2 Tổng số máy tính

2.2.1 Thông tin máy chủ

- Tổng số máy chủ: 75

- Số máy trạm được cài đặt phần mềm phòng

- Số lượng máy trạm sử dụng hệ điều hành còn

- Số lượng máy trạm được thiết lập kiểm soát

- Hệ thống MS Active Directory có được thiết

Kết nối Internet cung cấp dịch vụ Internet

Kết nối tập trung hay phân tán?

Tính tổng băng thông của các kết nối

2.6 Triển khai giải pháp an toàn dữ liệu

Tỷ lệ HTTT có CSDL được triển khai trên tủ

Tỷ lệ HTTT có CSDL được triển khai tại

2.7 Giải pháp an toàn thông tin

Số lượng Tại Số lượng Tại % Chi nhánh

2.7.3 Email Security: 0 0

2.7.4 Kiểm soát truy cập Internet: Fortigate Fortigate Fortinet

2.7.5 Kiểm soát truy cập nội bộ (NAC): 0 0

2.7.6 Tường lửa ứng dụng: Fortigate Fortigate Fortinet

2.7.7 Tường lửa cơ sở dữ liệu: Fortigate Fortigate Fortinet

2.7.8 Quản lý tài khoản đặc quyền: 0 0

2.7.9 Hệ thống lưu trữ log tập trung:

2.7.10 Hệ thống quản lý sự kiện an ninh (SIEM): 0 0

2.7.11 Hệ thống phân tích cảnh báo ATTT (SOC): 0 0

2.7.12 Phòng chống thất thoát dữ liệu (DLP) : 0 0

2.7.13 Phòng chống tấn công APT: 0 0

2.7.14 Phòng chống tấn công DDoS: 0 0

2.7.15 Endpoint Detection and Response (EDR): 0 0

2.8 Diễn tập ứng cứu sự cố an toàn thông tin

- Một đợt kiểm toán chuyên đề có thể

Số đơn vị/chi nhánh được kiểm toán nội bộ

3.1 Ứng dụng ngân hàng lõi (Core banking)

3.1.2 Cơ sở dữ liệu: Oracle Database Enterprisce Version 12.2

3.1.3 Số lượng tài khoản khách hàng: 137,891

Mức độ tự động hóa khi xử lý các giao dịch

Đã triển khai: ghi 1/ Chưa triển

Có triển Tên giải

3.2.1 Quản trị nguồn lực (ERP) 0

Các module ERP đã triển khai

3.2.2 Hệ thống kho dữ liệu (Warehouse) 0

Quản lý giao dịch ngoại hối (Treasury

3.2.7 Thư điện tử nội bộ 1

3.2.8 Hệ thống quản lý văn bản 0

3.2.10 Giải pháp Chữ ký số 1

3.2.11 Triển khai giải pháp trục tích hợp dữ liệu 0

- Số lượng các hệ thống đã tích hợp ESB

3.2.12 Các ứng dụng khác (ghi cụ thể) 0