NGÂN HÀNG TMCP Á CHÂU

ĐƠN VỊ:

CHECKLIST RÀ SOÁT HỒ SƠ
Phục vụ cho việc đánh giá rủi ro trọng yếu trong hoạt động thiết kế phát triển mới, cải tiến sản
phẩm/dịch vụ và có liên quan đến quy trình vận hành sản phẩm và/hoặc Hệ thống thông tin (HTTT)

I. Thông tin sản phẩm/dịch vụ:

1. Đơn vị phát triển sản phẩm: Khối CNTT
2. Tên sản phẩm/dịch vụ: Chương trình Quản Lý Sự Kiện ATM
3. Trường hợp: Cải tiến sản phẩm  Phát triển mới SP 
4. Giai đoạn: 1. Đề xuất ý tưởng SP 
2. Đánh giá tính khả thi SP 
3. Xây dựng SP 

4. Thử nghiệm SP 
5. Triển khai SP 
6. Quản lý hiệu quả SP 
Mô tả chi tiết hiện trạng của sản phẩm/dịch vụ (mới/ cải tiến, giai đoạn phát triển: ý tưởng/ đánh giá
tính khả thi/ chuẩn bị triển khai…): Chương trình đang triển khai đã đáp ứng được các tính năng:
a. Thông tin Điểm Đặt:
- Xem được các thông tin liên quan tới Điểm Đặt ATM.
- Lọc nhanh các Điểm theo khu vực.
- Update được trường thông tin theo đúng role.
b. Thông tin máy ATM:
- Xem được các thông tin liên quan tới thông tin Máy ATM.
- Update được các trường theo đúng phân quyền role.
c. Quản lý Lỗi ATM:
- Tạo được các thông tin cho bảng Lỗi.
- Cập nhật lại thông tin cho bảng Lỗi.
- Cho phép xóa Lỗi nếu chưa được khai báo ở bảng Sự Kiện ATM.
d. Quản lý Nhóm Lỗi ATM:
- Tạo được các thông tin cho bảng Nhóm Lỗi.
- Gắn hoặc gỡ được các role theo yêu cầu vào Nhóm Lỗi.
- Cập nhật lại thông tin cho Nhóm Lỗi nếu chưa có Lỗi nào của Nhóm Lỗi được khai báo tại bảng
Sự Kiện ATM.
- Cho phép xóa Nhóm Lỗi chưa có danh mục Lỗi nào.
e. Quản lý Sự Kiện ATM:
- Phân quyền khởi tạo và xử lý sự kiện đảm bảo đúng như mô tả.
- Tất cả trạng thái sự kiện được cập nhật tự động đúng như mô tả.
- Sự kiện được xử lý theo đúng role được phân quyền.
- Nếu sự kiện đã được tạo trước đó và sự kiện đang ở trạng thái “Tiếp nhận xử lý” thì không được
phép tạo thêm sự kiện tương tự (cùng Nhóm Lỗi).
- Sắp xếp danh sách Sự Kiện ATM theo “Ngày khởi tạo” với thứ tự giảm dần.
f. Quản lý Sự Kiện Điểm ATM:
- Tự động ghi nhận sự kiện Điểm ATM theo đúng như mô tả.
- Sắp xếp danh sách Sự Kiện Điểm ATM theo “Thời Gian Bắt Đầu” với thứ tự giảm dần.
g. Cảnh báo/Thông báo cho Sự Kiện ATM:
- Tự động hiển thị các thông báo hoặc cảnh báo thông qua Notification bằng popup màn hình phải
của trình duyệt.
QF-26/QLRRHĐ-11.21
1/11
 - Sự kiện được thông báo đúng theo như mô tả.
- Sự kiện được thông báo đúng theo các tiêu chí mô tả.
h. Báo cáo:
- Thể hiện số liệu báo cáo theo như mô tả.
- Cho phép xuất được file báo cáo theo nhiều định dạng.
5. Kết quả tự đánh giá sự tuân thủ của sản phẩm (theo Mẫu rà soát sự tuân thủ):
a. Tuân thủ quy định pháp luật: Có  Không 
b. Tuân thủ quy định nội bộ ACB: Có  Không 
6. Kết quả tự đánh giá rủi ro trọng yếu (theo Chính sách quản lý rủi ro tại Ngân hàng TMCP Á Châu)
theo Bảng phân tích rủi ro trong quy trình (QF-03/TKPT):
a. Rủi ro tín dụng: Không phát sinh rủi ro  Có phát sinh rủi ro 
b. Rủi ro thị trường: Không phát sinh rủi ro  Có phát sinh rủi
ro 
c. RRHĐ-Rủi ro pháp lý: Không phát sinh rủi ro  Có phát
sinh rủi ro 
d. RRHĐ-Gian lận nội bộ: Không phát sinh rủi ro  Có phát sinh rủi
ro 
e. RRHĐ- Gian lận bên ngoài: Không phát sinh rủi ro  Có phát sinh rủi
ro 
f. RRHĐ- Rủi ro an toàn thông tin: Không phát sinh rủi ro  Có phát
sinh rủi ro 
g. RRHĐ-Lỗi hệ thống: Không phát sinh rủi ro  Có phát sinh rủi
ro 
h. RRHĐ- Yếu kém quy trình: Không phát sinh rủi ro  Có phát sinh rủi ro 
i.RRHĐ – An toàn nơi làm việc: Không phát sinh rủi ro  Có phát sinh rủi ro 
j. RRHĐ – Chính sách lao động: Không phát sinh rủi ro  Có phát sinh rủi
ro 
k. RRHĐ- Hư hỏng, mất tài sản, công cụ, thiết bị: Không phát sinh rủi roCó phát
sinh rủi ro 
7. Nội dung cần góp ý(*): Đánh giá rủi ro trước khi triển khai sử dụng chương trình.
8. Ngày gửi yêu cầu: 20/02/2022
9. Ngày đề nghị hoàn thành: 11/08/2022
(*): nêu cụ thể nội dung cần góp ý, ví dụ:về quy trình/hệ thống/tính năng thực hiện sản phẩm/dịch vụ...

II. Chứng từ cần cung cấp để làm cơ sở có ý kiến đánh giá rủi ro :

QF-26/QLRRHĐ-11.21
2/11
 Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
A. GIAI ĐOẠN 1- ĐÁNH GIÁ Ý TƯỞNG
I. Tài liệu bắt buộc
Tờ trình SP/DV – Giai đoạn 1: Trình bày ý tưởng (bản thảo)
Mẫu áp dụng:
 QF-01a/TKPT: đối với PTST tín dụng;
1  QF-01b/TKPT: đối với PTSP khác £ 
Ghi chú: Tờ trình SP/DV có thể không sử dụng đúng mẫu
nhưng phải đảm bảo tối thiểu các nội dung được thể hiện trong
các mẫu trên.
Rủi ro Thị trường: Tài liệu/workfow mô tả cách vận hành sản
phẩm liên quan đến lợi nhuận và chi phí . Các tính toán và lãi /
2 lỗ đối với các sản phẩm liên quan đặc thù đến rủi ro thị 
trường/lãi suất/giá/lợi suất ( kèm ví dụ cụ thể các trường hợp có
thể xảy ra) –.
Kết quả rà soát sự tuân thủ
3 
(Mẫu áp dụng: QF-27/QLRRHĐ)
4 Ý kiến của Phòng Pháp chế 
Ý kiến của Phòng Tuân thủ đối với kết quả rà soát sự tuân thủ
5 £ 
(QF-27/QLRRHĐ)
6 Ý kiến của các đơn vị khác (nếu có liên quan) £ 
II. Tài liệu tùy nghi
Hợp đồng hợp tác/cung cấp dịch vụ với Đối tác (trong trường
7 
hợp ACB cung cấp sản phẩm liên kết với Đối tác)
Tài liệu liên quan đến sản phẩm/dịch vụ (tài liệu kỹ thuật, sơ đồ
8 kết nối hệ thống, sơ đồ luồng dữ liệu (data flow diagram), tài 
liệu liên quan đến hệ thống/công cụ hỗ trợ, tài liệu khác…)
Các tài liệu tham khảo về cách tính lợi nhuận đối với loại sản
9 
phẩm có rủi ro thị trường mà đơn vị tham khảo và sử dụng.
B. GIAI ĐOẠN 2 - ĐÁNH GIÁ TÍNH KHẢ THI
I. Tài liệu bắt buộc
1 Tài liệu trình bày ý tưởng (đã được phê duyệt) 
Biên bản họp hoặc văn bản thể hiện ý kiến của Nhóm
2 đánh giá ý tưởng D1 hoặc Nhóm hỗ trợ triển khai sản 
phẩm (SUPPORT)- S1 theo quy định

3 Kết quả phê duyệt của cấp thẩm quyền 

Tờ trình SP/DV – Giai đoạn 2: Đánh giá tính khả thi SP/DV
(bản thảo). Mẫu áp dụng:
 QF-02a/TKPT: đối với PTST tín dụng;
4  QF-02b/TKPT: đối với PTSP khác  
Ghi chú: Tờ trình SP/DV có thể không sử dụng đúng mẫu
nhưng phải đảm bảo tối thiểu các nội dung được thể hiện trong
các mẫu trên.
5 Các quy trình dự kiến thực hiện sản phẩm/nghiệp vụ tối thiểu £ 
(bản draft) theo Phụ lục 2- Công việc, Quy trình thực hiện sản
phẩm sản phẩm cần được xây dựng đối với các sản phẩm

QF-26/QLRRHĐ-11.21
3/11
 Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
mới, cải tiến sản phẩm trước khi triển khai

Bảng phân tích rủi ro trong quy trình có xác nhận của TĐV
6 Hội sở/người được TĐV Hội sở ủy quyền (Mẫu £ 
QF-03/TKPT)
Văn bản ghi nhận những nội dung thay đổi & lý do thay đổi
7 (trong trường hợp Tờ trình SP/DV giai đoạn 1 hoặc 2 chưa thể 
hiện chi tiết các thông tin thay đổi)
8 Ý kiến của Phòng Pháp chế 
Ý kiến của Phòng Tuân thủ đối với kết quả rà soát sự tuân thủ
9 £ 
(QF-27/QLRRHĐ)
10 Ý kiến của các đơn vị khác (nếu có liên quan) £ 
11. Trường hợp SP/DV có phát triển mới/cải tiến HTTT để vận hành SP/DV
11.1 Kế hoạch chi tiết của dự án (DA) (Project Plan) £ 
Báo cáo phê duyệt về kinh phí thực hiện DA (Project Funding)

11.2 Ghi chú: phải có chi phí dự phóng cho việc kiểm tra đánh giá £ 
an toàn thông tin theo yêu cầu Điều 42. Kiểm tra, đánh giá an
toàn thông tin - Thông tư 09
Báo cáo chi tiết về vai trò và trách nhiệm của các thành viên
11.3 £ 
trong BQLDA (Project Charter)
Báo cáo phân tích chi phí/lợi ích của DA (Project cost/benefit
11.4 £ 
analysis)
Báo cáo đánh giá mức độ quan trọng của SP/DV/HTTT và của
các thông tin số được tạo lập, truyền nhận, thu thập, xử lý, lưu
trữ và trao đổi trên SP/DV/HTTT (Information system, Data
Classification and Sensitivity assessment) theo yêu cầu của
11.5 £ 
Điều 05- Phân loại Hệ thống thông tin - Thông tư 09

Ghi chú: liên hệ BP.Tuân Thủ CNTT (K.CNTT) để được tư

vấn về việc phân loại HTTT
II. Tài liệu tùy nghi
Phản hồi ý kiến đơn vị PTSP đối với những ý kiến của Phòng
12 QLRRHĐ ở giai đoạn 1 (nếu có) có xác nhận của TĐV Hội £ 
sở/người được TĐV Hội sở ủy quyền
13. Trường hợp SP/DV có liên quan đến thoạt động thuê ngoài/ bên thứ 3: cung cấp tài liệu theo mục G. LIÊN
QUAN ĐẾN HOẠT ĐỘNG THUÊ NGOÀI/BÊN THỨ 3 bên dưới
C. GIAI ĐOẠN 3 – XÂY DỰNG (TRƯỚC KHI TRIỂN KHAI)
I. Tài liệu bắt buộc
Tài liệu Đánh giá tính khả thi – giai đoạn 2 (đã được phê
1 duyệt) 

Biên bản họp hoặc văn bản thể hiện ý kiến của Nhóm
đánh giá ý tưởng (DELTA FORCE) D1 hoặc Nhóm hỗ trợ
2 triển khai sản phẩm (SUPPORT)- S1 theo quy định – giai 
đoạn 2
3 Kết quả phê duyệt của cấp thẩm quyền- giai đoạn 2 
4 Tờ trình SP/DV (bản thảo) để trình cấp thẩm quyền phê duyệt £ 
QF-26/QLRRHĐ-11.21
4/11
 Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
cho Giai đoạn 3 trước khi triển khai sản phẩm hoặc triển khai
thử nghiệm sản phẩm theo quy định
Mẫu áp dụng:
QF-02a/TKPT: đối với PTST tín dụng;
QF-02b/TKPT: đối với PTSP khác
Ghi chú: Tờ trình SP/DV có thể không sử dụng đúng mẫu
nhưng phải đảm bảo tối thiểu các nội dung được thể hiện trong
các mẫu trên.
Các quy trình dự kiến thực hiện sản phẩm/nghiệp vụ tối thiểu
(bản draft) theo Phụ lục 2- Công việc, Quy trình thực hiện sản
5 phẩm sản phẩm cần được xây dựng đối với các sản phẩm £ 
mới, cải tiến sản phẩm trước khi triển khai

Bảng phân tích rủi ro trong quy trình có xác nhận của
6 £ 
TĐV/người được TĐV Hội sở ủy quyền (Mẫu QF-03/TKPT)
Văn bản ghi nhận những nội dung thay đổi & lý do thay đổi
7 (trong trường hợp Tờ trình SP/DV giai đoạn 1 hoặc 2 chưa thể £ 
hiện chi tiết các thông tin thay đổi)
8 Ý kiến của Phòng Pháp chế 
Ý kiến của Phòng Tuân thủ đối với kết quả rà soát sự tuân thủ
9 £ 
(QF-27/QLRRHĐ)
10 Ý kiến của các đơn vị khác (nếu có liên quan) £ 
11 Trường hợp SP/DV có phát triển mới/cải tiến HTTT để vận hành SP/DV
a. Phiếu yêu cầu phát triển CNTT (PYC)(QF-50/CNTT)(*)
11.1  £
b. Bảng phân tích rủi ro CNTT QF-88/QLRRHĐ
Tài liệu đặc tả/ tài liệu yêu cầu nghiệp vụ (BRD)(QF –
11.2  £
90/CNTT) (*)
Tài liệu phân tích đánh giá yêu cầu nghiệp vụ (FRS)(QF–
11.3  £
02/CNTT) (*)
Kế hoạch phát hành phần mềm sản phẩm (RLP)
11.4 £ 
(QF-102/CNTT) (*)
Thiết kế kiến trúc và đặc tả kỹ thuật (TSD) (QF - 99/CNTT)(*)

Ghi chú:
 TSD phải được xây dựng tuân thủ yêu cầu của Điều 37.
Yêu cầu về an toàn, bảo mật các hệ thống thông tin -
Thông Tư 09
 Trong trường hợp có mô tả giao thức mã hóa dữ liệu đang
được truyền tải và lưu trữ (Encryption of data in transit and
11.5 £ 
Data at rest), dùng chung biểu mẫu này.
 Áp dụng cho các SP/DV/HTTT có chứa các thông tin bí
mật phải được mã hóa hoặc áp dụng các biện pháp bảo
mật thông tin trước khi trao đổi. Đối với HTTT cấp độ 5, tổ
chức phải sử dụng kết nối mạng an toàn và các thiết bị,
phương tiện chuyên dụng để mã hóa, giải mã thông tin bí
mật và khi trao đổi thông tin. (chi tiết tham khảo Điều 24-
Trao đổi thông tin – Thông Tư 09).
Kế hoạch kiểm thử (chiến lược kiểm thử) (TSP) (QF -
11.6 £ 
100/CNTT) (*)
11.7 Kế hoạch kiểm tra đánh giá an toàn thông tin (theo yêu cầu của £ 

QF-26/QLRRHĐ-11.21
5/11
 Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
Điều 42. Kiểm tra, đánh giá an toàn thông tin - Thông tư 09
(*))
11.8 Kịch bản kiểm thử (KBTN) (QF - 53/CNTT )(*)  £
Các dữ liệu kiểm tra, thử nghiệm (Test Data) & Báo cáo kết
quả các biện pháp che giấu (Data masking) hoặc thay đổi đối
với dữ liệu chứa thông tin khách hàng và thông tin bí mật trước
11.9 £ 
khi đưa vào môi trường kiểm thử (theo yêu cầu của Điều 40.
An toàn, bảo mật trong quá trình phát triển phần mềm -
Thông tư 09 (*))
II. Tài liệu tùy nghi
Phản hồi ý kiến đơn vị PTSP đối với những ý kiến của Phòng
12 QLRRHĐ ở giai đoạn 1 (nếu có) có xác nhận của TĐV Hội £ 
sở/người được TĐV Hội sở ủy quyền.
13. Trường hợp SP/DV có liên quan đến hoạt động thuê ngoài/bên thứ 3: cung cấp tài liệu theo mục G. LIÊN
QUAN ĐẾN HOẠT ĐỘNG THUÊ NGOÀI/BÊN THỨ 3 bên dưới
A. GIAI ĐOẠN 4 –TRIỂN KHAI THỬ NGHIỆM

1 Báo cáo kết quả triển khai thử nghiệm SP (QF-04/TKPT) 

Trường hợp SP/DV có phát triển mới/cải tiến HTTT để vận
2
hành SP/DV
Kết quả kiểm thử (Báo cáo kiểm thử phần mềm) (KQTN)
2.1 (QF – 89/CNTT)(*) – đối với kiểm thử chức năng £ 
(Functional):
Kiểm thử xác minh bảng build (Smoke Testing)(QF – 89/CNTT)
2.1.1  
(*)
2.1.2 Kiểm thử tính hợp lý của hệ thống (Sanity Testing)(QF –
 
89/CNTT)(*)
2.1.3 Kiểm thử kết nối API (API test)(QF – 89/CNTT)(*)  
2.1.4 Kiểm thử giao tiếp (Inteface Testing)(QF – 89/CNTT)(*)  
2.1.5 Kiểm thử tích hợp (Integration Testing)(QF – 89/CNTT)(*)  
2.1.6 Kiểm thử tính nghiệp vụ (Business Testing)(QF – 89/CNTT)(*)  
2.1.7 Kiểm thử hệ thống (System Testing)(QF – 89/CNTT)(*)  
Kiểm thử chuyển đổi dữ liệu từ SP/DV/HTTT cũ sang
2.1.8 SP/DV/HTTT mới (Data Validation/Conversion Test)(QF –  
89/CNTT)(*)
Kết quả kiểm thử (Báo cáo kiểm thử phần mềm) (KQTN)
2.2 (QF – 89/CNTT)(*) – đối với kiểm thử phi chức năng (Non- £ 
functional):
Kiểm thử khả năng sử dụng (Usability Testing)(QF – 89/CNTT)
2.2.1  
(*)
2.2.2 Kiểm thử độ tin cậy (Reliability Testing)(QF – 89/CNTT)(*)  
Kiểm thử tính tương thích (Portability Testing)(QF – 89/CNTT)
2.2.3  
(*)
2.2.4 Kiểm thử khả năng chịu tải (Load Testing)(QF – 89/CNTT)(*)  
2.2.5 Kiểm thử vượt quá tải trọng (Stress Testing)(QF – 89/CNTT)(*)  
Báo cáo kiểm thử bảo mật, Pentest (QF-107/CNTT), bao
2.3 £ 
gồm tối thiểu các kết quả sau:(*)
2.3.1 Kết quả đánh giá về kiến trúc hệ thống để xác định tính phù  
hợp của các thiết bị lắp đặt với kiến trúc hệ thống tổng thể và
QF-26/QLRRHĐ-11.21
6/11
 Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
yêu cầu về an ninh bảo mật
Kết quả đánh giá, phát hiện mã độc, các điểm yếu, lỗ hổng về
2.3.2 mặt kỹ thuật của hệ thống mạng và HTTT trong phạm vi của hồ  
sơ (Information System & Network Vulscan)
Kết quả kiểm tra bảo mật/gia cố (hardening) các thiết bị mua
mới trong phạm vi của hồ sơ.
2.3.3  
Ví dụ: máy chủ, Máy trạm, các thiết bị mạng và bảo mật mạng
(Tường lửa, Router, Switch...), CSDL, Middleware, Technology
Stack, Opensource, HĐH..
Kết quả rà soát bảo mật vật lý (áp dụng đối với các dự án có
2.3.4  
mua mới các tài sản phần cứng và thiết bị mạng)
Kết quả kiểm tra cấu hình các thiết bị bảo mật, các hệ thống
2.3.5 cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối,  
danh sách tài khoản trong phạm vi của hồ sơ.
Kiểm tra thử nghiệm cấp độ an toàn mạng (Penetration Test)

Ghi chú: Penetration Test là bắt buộc phải thực hiện đối với
2.3.6 các hệ thống thông tin có kết nối và cung cấp thông tin, dịch vụ  
ra Internet, kết nối với khách hàng và bên thứ ba theo yêu cầu
của Điều 42. Kiểm tra, đánh giá an toàn thông tin – Thông
Tư 09
2.4 Báo cáo rà soát bảo mật mã nguồn (Review code)(*) £ 
2.5 Biên bản nghiệm thu (BBNT - UAT) (QF – 51/CNTT)(*)  £
D. GIAI ĐOẠN 5 –TRIỂN KHAI SP/DV
Tài liệu trình triển khai thử nghiệm SP (đã được phê
1 duyệt)
Biên bản họp hoặc văn bản thể hiện ý kiến của Nhóm
2 đánh giá ý tưởng D1 hoặc Nhóm hỗ trợ triển khai sản
phẩm (SUPPORT)- S1 theo quy định
Kết quả phê duyệt của cấp thẩm quyền tại giai đoạn 3-Xây
3
dựng
Tờ trình SP/DV (bản thảo) để trình cấp thẩm quyền phê duyệt
cho Giai đoạn 5 trước khi triển khai sản phẩm theo quy định
Mẫu áp dụng:
QF-02a/TKPT: đối với PTST tín dụng;
4 £ £
QF-02b/TKPT: đối với PTSP khác
Ghi chú: Tờ trình SP/DV có thể không sử dụng đúng mẫu
nhưng phải đảm bảo tối thiểu các nội dung được thể hiện trong
các mẫu trên.
Báo cáo ghi nhận các lỗi/rủi ro phát sinh và hướng giải quyết
5 trong quá trình Golive, có xác nhận của các Bên liên quan đến £ £
việc triển khai SP/DV/HTTT
6 Báo cáo kết quả triển khai thử nghiệm SP (QF-04/TKPT) £ £
7 Trường hợp SP/DV có phát triển mới/cải tiến HTTT để vận hành SP/DV
8.1 Tài liệu/Sổ tay vận hành (OPM) (QF-92/CNTT) (*)  
8.2 Hướng dẫn cài đặt/triển khai/ban giao (QF-93/CNTT) (*)  
8.3 Công văn triển khai triển khai ứng dụng (QF-N.14/CNTT) (*)  
QF-26/QLRRHĐ-11.21
7/11
 Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
Kế hoạch chi tiết công tác tích hợp (QF- 97/CNTT) (*) đảm
bảo những nội dung tối thiểu bao gồm:
1. Báo cáo ghi nhận các lỗi/rủi ro phát sinh và hướng giải
quyết trong quá trình kiểm thử tiền Golive (Dress
Rehershal), có xác nhận của các Bên liên quan đến việc
triển khai SP/DV/HTTT
8.5  
2. Báo cáo ghi nhận công việc Backup Source cũ
3. Kịch bản chi tiết các bước Golive & Rollback/ Fallback, có
xác nhận của các Bên liên quan đến việc triển khai
SP/DV/HTTT
4. Kế hoạch & kết quả Rollback/Fallback, có xác nhận của
các Bên liên quan đến việc triển khai SP/DV/HTTT
Danh sách kiểm tra chuẩn bị triển khai phần mềm (DRC)(QF-
8.6  
103/CNTT)(*)
8.7 Tờ trình cấp phép Golive ( QF-N.15/CNTT)(*)  
B. GIAI ĐOẠN 6 – VẬN HÀNH SP/DV/HTTT (SAU KHI TRIỂN KHAI)

1 Báo cáo kết quả triển khai SP (QF-04/TKPT)

Trường hợp SP/DV có phát triển mới/cải tiến HTTT để vận
2
hành SP/DV
Quy định kiểm soát truy cập theo yêu cầu của Điều 28-Yêu cầu
đối với kiểm soát truy cập – thông tư 09 gồm những nội dung
tối thiểu sau đây:
1. Quy định hướng dẫn phân quyền, sử dụng menu/chức
năng hệ thống - dành cho Người dùng (User Guide/User
materials)
2. Ma trận phân quyền về việc quản lý truy cập đối với người
2.1 sử dụng, nhóm người sử dụng.  
3. Quy định đăng ký, cấp phát, gia hạn và thu hồi quyền truy
cập của người sử dụng;
4. Quy định và báo cáo đánh giá tách bạch trách nhiêm
(SoD) trong profile, role được ban hành, rà soát và phê
duyệt bởi các cấp có thẩm quyền;
5. Quy định và báo cáo quản lý truy cập/ quản lý tk đặc
quyền (admin/privilege user)
Kế hoạch và tài liệu đào tạo người sử dụng và vận hành hệ
2.2  
thống (Training plan and material )
Hướng dẫn kích hoạt và xử lý thảm họa CNTT, bảo đảm hoạt
2.3 động liên tục dành cho Quản trị hệ thống (IT BCP and IT DRP)  
(Theo yêu cầu của Mục 9 của Thông tư 09)
Hướng dẫn quản lý khóa dùng cho việc mã hóa thông tin
2.4 (Theo quy định tại Phụ lục 3 của CV 68 – Quy định phân loại  
dữ liệu của ACB)
Quy trình bật, tắt SP/DV/HTTT (bao gồm hệ thống máy chủ
HĐH, ứng dụng + máy chủ CSDL…)
2.5  
Theo yêu cầu của Điều 20. Trách nhiệm quản lý và quy trình
vận hành của tổ chức – thông tư 09
2.6 Quy trình/hướng dẫn sao lưu, phục hồi dữ liệu £ 
Theo yêu cầu của thông tư 09 các điều tối thiểu sau:
 Điều 20. Trách nhiệm quản lý và quy trình vận hành của
tổ chức
QF-26/QLRRHĐ-11.21
8/11
 Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
 Điều 22. Sao lưu dự phòng – thông tư 09
Quy trình vận hành ứng dụng
2.7  Theo yêu cầu của Điều 20. Trách nhiệm quản lý và quy  
trình vận hành của tổ chức – thông tư 09
Quy trình xử lý sự cố
Theo yêu cầu của thông tư 09 các điều tối thiểu sau:
 Điều 20. Trách nhiệm quản lý và quy trình vận hành
2.8 của tổ chức  
 Điều 45. Quy trình xử lý sự cố
 Điều 46. Kiểm soát và khắc phục sự cố
 QP 7.232
Quy định/hướng dẫn giám sát và ghi nhật ký hoạt động của hệ
thống, phải có tối thiểu những nội dung sau;
 Thông tin kết nối mạng (Firewall log)
 Thông tin đăng nhập
 Thông tin thay đổi cấu hình
 Thông tin truy cập dữ liệu và dịch vụ quan trọng (nếu có)
 Thông tin các lỗi phát sinh trong quá trình hoạt động
 Thông tin cảnh báo từ các thiết bị
2.9  
 Thông tin hiệu năng hoạt động của thiết bị (đối với HTTT
cấp độ 3 trở lên hoặc hệ thống cấp độ 2 có chứa thông tin
khách hàng)
Theo yêu cầu của thông tư 09 các điều tối thiểu sau:
 Điều 20. Trách nhiệm quản lý và quy trình vận hành
của tổ chức
 Điều 26. Giám sát và ghi nhật ký hoạt động của hệ
thống thông tin
Tài liệu tiêu chuẩn, định mức, yêu cầu kỹ thuật để bảo đảm
2.10  
hoạt động bình thường.
2.11 Quy trình xử lý theo lô (Batch processing)  
2.12 Quy định quản lý source code  
2.13 Tài liệu quản lý phiên bản của SP/DV/HTTT (Version control)  
Tài liệu và báo cáo kiểm soát bản quyền hệ thống (License
2.14  
management)
Tài liệu và báo cáo kiểm soát cập nhật bản vá (Patch
2.15 Management) theo WI -02 (Hướng dẫn cập nhật bản vá  
HTTT của ACB)
2.16 Tài liệu quản lý cấu hình (Configuration management)  
Tài liệu quản lý lưu trữ dữ liệu (Records retention
2.17  
management).
E. LIÊN QUAN ĐẾN HOẠT ĐỘNG THUÊ NGOÀI/BÊN THỨ 3
I. Tài liệu bắt buộc
Checklist rà soát sự tuân thủ về QLRRHĐ hoạt động thuê ngoài
1 £ £
theo mẫu QF-28/QLRRHĐ-12.20
2.1 Trường hợp SP/DV không phát triển mới/cải tiến HTTT để vận hành SP/DV
Kết quả thẩm định/tái thẩm định năng lực của đối tác/Bên thứ 3
a có xác nhận của TĐV Hội sở/người được TĐV Hội sở ủy £ £
quyền
b Bảng đánh giá/tái đánh giá rủi ro trong hoạt động thuê ngoài có £ £
xác nhận của TĐV Hội sở/người được TĐV Hội sở ủy quyền
QF-26/QLRRHĐ-11.21
9/11
 Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
(mẫu QF-08/QLRRHĐ)
Hợp đồng thuê ngoài với đối tác/bên thứ 3 (ký kết mới/gia hạn)
Ghi chú: Nội dung hợp đồng phải phù hợp với Quy định về
c quản lý rủi ro hoạt động đối với hoạt động thuê ngoài tại ACB £ £
(theo CV 323/NVQĐ-QLRRHĐ.19) và điều 35 của Thông tư
09/2020/TT-NHNN
Kế hoạch đảm bảo kinh doanh liên tục có xác nhận của TĐV
d £ £
Hội sở/người được TĐV Hội sở ủy quyền.
Các tài liệu cần cung cấp theo quy định pháp luật liên quan đến
e đối tác/Bên thứ 3 (ví dụ: hồ sơ pháp lý, các chứng chỉ cần có £ £
theo Thông tư 09/2020/TT-NHNN, …..)
2.2 Trường hợp SP/DV có phát triển mới/cải tiến HTTT để vận hành SP/DV
Bảng tiêu chí đánh giá năng lực của NCC theo từng loại hình
a SP/DV có xác nhận của TĐV Hội sở/ người được TĐV Hội £ £
sở ủy quyền theo WI-01/QLDAĐT
Mẫu bảng đánh giá NCC về mức độ Tuân thủ CNTT/Rủi Ro có
b xác nhận của TĐV Hội sở/người được TĐV Hội sở ủy quyền £ £
theo WI-N.01/CNTT (mẫu QF-08/QLDAĐT)
Hợp đồng thuê ngoài cần có các nội dung nêu tại Phụ lục 3
c £ £
mục 3 theo WI-01/QLDAĐT
Bên thứ 3/ACB lập kế hoạch đảm bảo kinh doanh liên tục có
d xác nhận của người đại diện hợp pháp của bên thứ 3/ TĐV £ £
Hội sở/người được TĐV Hội sở ủy quyền
Biên bản bàn giao mã nguồn từ bên thứ ba đối với HTTT từ cập
độ 2 trở lên phải có xác nhận của người đại diện hợp pháp
e £ £
của bên thứ 3/ TĐV Hội sở/người được TĐV Hội sở ủy
quyền (Theo Điều 5 và Điều 40 TT09/2020/TT-NHNN)
Các tài liệu cần cung cấp theo quy định pháp luật liên quan đến
f Bên thứ 3 (ví dụ: hồ sơ pháp lý, các chứng chỉ cần có theo £ £
Thông tư 09/2020/TT-NHNN, …..)
Các tài liệu tối thiểu phục vụ cho công tác đánh giá/quản lý bên
thứ ba/thuê ngoài và phải có xác nhận của người đại diện hợp
pháp của bên thứ 3/ TĐV Hội sở/người được TĐV Hội sở ủy
quyền, bao gồm:
1. Hồ sơ mời thầu (Request for Proposal(RFP))
2. Bản cam kết phạm vi công việc của bên thứ ba/thuê ngoài
(Statement of Work (SoW))
3. Các chứng nhận quốc tế còn hiệu lực về bảo đảm an toàn
g thông tin £ £
4. Báo cáo đánh giá bảo mật bên thứ ba/thuê ngoài
5. Báo cáo kiểm toán đôc lập
6. Bộ tiêu chí giám sát chỉ số vận hành SP/DV/HTTT
7. Hợp đồng bảo hành/bảo trì SP/DV/HTTT, trong đó bao
gồm tối thiểu:
 Hợp đồng sử dụng dịch vụ với bên thứ ba/thuê ngoài
 Bản cam kết chất lượng dịch vụ của bên thứ ba/thuê
ngoài (SLA và KPI)
II. Tài liệu tùy nghi
3 Các tài liệu khác có liên quan £ £

QF-26/QLRRHĐ-11.21
10/11
  Hệ thống thông tin (HTTT) là một tập hợp các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu
và hệ thống mạng để tạo lập, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ
cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của tổ chức.
 Tất cả những tài liệu liệt kệ trên phải có xác nhận, rà soát và phê duyệt của cấp có thẩm quyền/
người đại diện hợp pháp, đảm bảo tính xác thực của tài liệu.
 (*) Bao gồm các biễu mẫu (QF) được quy định trong Thủ Tục phát triển phần mềm (SDLC) được
ban hành trong tháng 08/2021.Các nhân sự thực hiện, kiểm soát, phê duyệt các biểu mẫu cũng được
quy định trong Mục 7 của SDLC.

NHÂN SỰ THỰC HIỆN TRƯỞNG ĐƠN VỊ HỘI SỞ/

NGƯỜI ĐƯỢC TĐV ỦY QUYỀN

QF-26/QLRRHĐ-11.21
11/11