Professional Documents
Culture Documents
Checklist ra soat ho so SP - Quản Lý Sự Kiện ATM
Checklist ra soat ho so SP - Quản Lý Sự Kiện ATM
ĐƠN VỊ:
CHECKLIST RÀ SOÁT HỒ SƠ
Phục vụ cho việc đánh giá rủi ro trọng yếu trong hoạt động thiết kế phát triển mới, cải tiến sản
phẩm/dịch vụ và có liên quan đến quy trình vận hành sản phẩm và/hoặc Hệ thống thông tin (HTTT)
4. Thử nghiệm SP
5. Triển khai SP
6. Quản lý hiệu quả SP
Mô tả chi tiết hiện trạng của sản phẩm/dịch vụ (mới/ cải tiến, giai đoạn phát triển: ý tưởng/ đánh giá
tính khả thi/ chuẩn bị triển khai…): Chương trình đang triển khai đã đáp ứng được các tính năng:
a. Thông tin Điểm Đặt:
- Xem được các thông tin liên quan tới Điểm Đặt ATM.
- Lọc nhanh các Điểm theo khu vực.
- Update được trường thông tin theo đúng role.
b. Thông tin máy ATM:
- Xem được các thông tin liên quan tới thông tin Máy ATM.
- Update được các trường theo đúng phân quyền role.
c. Quản lý Lỗi ATM:
- Tạo được các thông tin cho bảng Lỗi.
- Cập nhật lại thông tin cho bảng Lỗi.
- Cho phép xóa Lỗi nếu chưa được khai báo ở bảng Sự Kiện ATM.
d. Quản lý Nhóm Lỗi ATM:
- Tạo được các thông tin cho bảng Nhóm Lỗi.
- Gắn hoặc gỡ được các role theo yêu cầu vào Nhóm Lỗi.
- Cập nhật lại thông tin cho Nhóm Lỗi nếu chưa có Lỗi nào của Nhóm Lỗi được khai báo tại bảng
Sự Kiện ATM.
- Cho phép xóa Nhóm Lỗi chưa có danh mục Lỗi nào.
e. Quản lý Sự Kiện ATM:
- Phân quyền khởi tạo và xử lý sự kiện đảm bảo đúng như mô tả.
- Tất cả trạng thái sự kiện được cập nhật tự động đúng như mô tả.
- Sự kiện được xử lý theo đúng role được phân quyền.
- Nếu sự kiện đã được tạo trước đó và sự kiện đang ở trạng thái “Tiếp nhận xử lý” thì không được
phép tạo thêm sự kiện tương tự (cùng Nhóm Lỗi).
- Sắp xếp danh sách Sự Kiện ATM theo “Ngày khởi tạo” với thứ tự giảm dần.
f. Quản lý Sự Kiện Điểm ATM:
- Tự động ghi nhận sự kiện Điểm ATM theo đúng như mô tả.
- Sắp xếp danh sách Sự Kiện Điểm ATM theo “Thời Gian Bắt Đầu” với thứ tự giảm dần.
g. Cảnh báo/Thông báo cho Sự Kiện ATM:
- Tự động hiển thị các thông báo hoặc cảnh báo thông qua Notification bằng popup màn hình phải
của trình duyệt.
QF-26/QLRRHĐ-11.21
1/11
- Sự kiện được thông báo đúng theo như mô tả.
- Sự kiện được thông báo đúng theo các tiêu chí mô tả.
h. Báo cáo:
- Thể hiện số liệu báo cáo theo như mô tả.
- Cho phép xuất được file báo cáo theo nhiều định dạng.
5. Kết quả tự đánh giá sự tuân thủ của sản phẩm (theo Mẫu rà soát sự tuân thủ):
a. Tuân thủ quy định pháp luật: Có Không
b. Tuân thủ quy định nội bộ ACB: Có Không
6. Kết quả tự đánh giá rủi ro trọng yếu (theo Chính sách quản lý rủi ro tại Ngân hàng TMCP Á Châu)
theo Bảng phân tích rủi ro trong quy trình (QF-03/TKPT):
a. Rủi ro tín dụng: Không phát sinh rủi ro Có phát sinh rủi ro
b. Rủi ro thị trường: Không phát sinh rủi ro Có phát sinh rủi
ro
c. RRHĐ-Rủi ro pháp lý: Không phát sinh rủi ro Có phát
sinh rủi ro
d. RRHĐ-Gian lận nội bộ: Không phát sinh rủi ro Có phát sinh rủi
ro
e. RRHĐ- Gian lận bên ngoài: Không phát sinh rủi ro Có phát sinh rủi
ro
f. RRHĐ- Rủi ro an toàn thông tin: Không phát sinh rủi ro Có phát
sinh rủi ro
g. RRHĐ-Lỗi hệ thống: Không phát sinh rủi ro Có phát sinh rủi
ro
h. RRHĐ- Yếu kém quy trình: Không phát sinh rủi ro Có phát sinh rủi ro
i.RRHĐ – An toàn nơi làm việc: Không phát sinh rủi ro Có phát sinh rủi ro
j. RRHĐ – Chính sách lao động: Không phát sinh rủi ro Có phát sinh rủi
ro
k. RRHĐ- Hư hỏng, mất tài sản, công cụ, thiết bị: Không phát sinh rủi roCó phát
sinh rủi ro
7. Nội dung cần góp ý(*): Đánh giá rủi ro trước khi triển khai sử dụng chương trình.
8. Ngày gửi yêu cầu: 20/02/2022
9. Ngày đề nghị hoàn thành: 11/08/2022
(*): nêu cụ thể nội dung cần góp ý, ví dụ:về quy trình/hệ thống/tính năng thực hiện sản phẩm/dịch vụ...
II. Chứng từ cần cung cấp để làm cơ sở có ý kiến đánh giá rủi ro :
QF-26/QLRRHĐ-11.21
2/11
Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
A. GIAI ĐOẠN 1- ĐÁNH GIÁ Ý TƯỞNG
I. Tài liệu bắt buộc
Tờ trình SP/DV – Giai đoạn 1: Trình bày ý tưởng (bản thảo)
Mẫu áp dụng:
QF-01a/TKPT: đối với PTST tín dụng;
1 QF-01b/TKPT: đối với PTSP khác £
Ghi chú: Tờ trình SP/DV có thể không sử dụng đúng mẫu
nhưng phải đảm bảo tối thiểu các nội dung được thể hiện trong
các mẫu trên.
Rủi ro Thị trường: Tài liệu/workfow mô tả cách vận hành sản
phẩm liên quan đến lợi nhuận và chi phí . Các tính toán và lãi /
2 lỗ đối với các sản phẩm liên quan đặc thù đến rủi ro thị
trường/lãi suất/giá/lợi suất ( kèm ví dụ cụ thể các trường hợp có
thể xảy ra) –.
Kết quả rà soát sự tuân thủ
3
(Mẫu áp dụng: QF-27/QLRRHĐ)
4 Ý kiến của Phòng Pháp chế
Ý kiến của Phòng Tuân thủ đối với kết quả rà soát sự tuân thủ
5 £
(QF-27/QLRRHĐ)
6 Ý kiến của các đơn vị khác (nếu có liên quan) £
II. Tài liệu tùy nghi
Hợp đồng hợp tác/cung cấp dịch vụ với Đối tác (trong trường
7
hợp ACB cung cấp sản phẩm liên kết với Đối tác)
Tài liệu liên quan đến sản phẩm/dịch vụ (tài liệu kỹ thuật, sơ đồ
8 kết nối hệ thống, sơ đồ luồng dữ liệu (data flow diagram), tài
liệu liên quan đến hệ thống/công cụ hỗ trợ, tài liệu khác…)
Các tài liệu tham khảo về cách tính lợi nhuận đối với loại sản
9
phẩm có rủi ro thị trường mà đơn vị tham khảo và sử dụng.
B. GIAI ĐOẠN 2 - ĐÁNH GIÁ TÍNH KHẢ THI
I. Tài liệu bắt buộc
1 Tài liệu trình bày ý tưởng (đã được phê duyệt)
Biên bản họp hoặc văn bản thể hiện ý kiến của Nhóm
2 đánh giá ý tưởng D1 hoặc Nhóm hỗ trợ triển khai sản
phẩm (SUPPORT)- S1 theo quy định
QF-26/QLRRHĐ-11.21
3/11
Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
mới, cải tiến sản phẩm trước khi triển khai
Bảng phân tích rủi ro trong quy trình có xác nhận của TĐV
6 Hội sở/người được TĐV Hội sở ủy quyền (Mẫu £
QF-03/TKPT)
Văn bản ghi nhận những nội dung thay đổi & lý do thay đổi
7 (trong trường hợp Tờ trình SP/DV giai đoạn 1 hoặc 2 chưa thể
hiện chi tiết các thông tin thay đổi)
8 Ý kiến của Phòng Pháp chế
Ý kiến của Phòng Tuân thủ đối với kết quả rà soát sự tuân thủ
9 £
(QF-27/QLRRHĐ)
10 Ý kiến của các đơn vị khác (nếu có liên quan) £
11. Trường hợp SP/DV có phát triển mới/cải tiến HTTT để vận hành SP/DV
11.1 Kế hoạch chi tiết của dự án (DA) (Project Plan) £
Báo cáo phê duyệt về kinh phí thực hiện DA (Project Funding)
11.2 Ghi chú: phải có chi phí dự phóng cho việc kiểm tra đánh giá £
an toàn thông tin theo yêu cầu Điều 42. Kiểm tra, đánh giá an
toàn thông tin - Thông tư 09
Báo cáo chi tiết về vai trò và trách nhiệm của các thành viên
11.3 £
trong BQLDA (Project Charter)
Báo cáo phân tích chi phí/lợi ích của DA (Project cost/benefit
11.4 £
analysis)
Báo cáo đánh giá mức độ quan trọng của SP/DV/HTTT và của
các thông tin số được tạo lập, truyền nhận, thu thập, xử lý, lưu
trữ và trao đổi trên SP/DV/HTTT (Information system, Data
Classification and Sensitivity assessment) theo yêu cầu của
11.5 £
Điều 05- Phân loại Hệ thống thông tin - Thông tư 09
Biên bản họp hoặc văn bản thể hiện ý kiến của Nhóm
đánh giá ý tưởng (DELTA FORCE) D1 hoặc Nhóm hỗ trợ
2 triển khai sản phẩm (SUPPORT)- S1 theo quy định – giai
đoạn 2
3 Kết quả phê duyệt của cấp thẩm quyền- giai đoạn 2
4 Tờ trình SP/DV (bản thảo) để trình cấp thẩm quyền phê duyệt £
QF-26/QLRRHĐ-11.21
4/11
Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
cho Giai đoạn 3 trước khi triển khai sản phẩm hoặc triển khai
thử nghiệm sản phẩm theo quy định
Mẫu áp dụng:
QF-02a/TKPT: đối với PTST tín dụng;
QF-02b/TKPT: đối với PTSP khác
Ghi chú: Tờ trình SP/DV có thể không sử dụng đúng mẫu
nhưng phải đảm bảo tối thiểu các nội dung được thể hiện trong
các mẫu trên.
Các quy trình dự kiến thực hiện sản phẩm/nghiệp vụ tối thiểu
(bản draft) theo Phụ lục 2- Công việc, Quy trình thực hiện sản
5 phẩm sản phẩm cần được xây dựng đối với các sản phẩm £
mới, cải tiến sản phẩm trước khi triển khai
Bảng phân tích rủi ro trong quy trình có xác nhận của
6 £
TĐV/người được TĐV Hội sở ủy quyền (Mẫu QF-03/TKPT)
Văn bản ghi nhận những nội dung thay đổi & lý do thay đổi
7 (trong trường hợp Tờ trình SP/DV giai đoạn 1 hoặc 2 chưa thể £
hiện chi tiết các thông tin thay đổi)
8 Ý kiến của Phòng Pháp chế
Ý kiến của Phòng Tuân thủ đối với kết quả rà soát sự tuân thủ
9 £
(QF-27/QLRRHĐ)
10 Ý kiến của các đơn vị khác (nếu có liên quan) £
11 Trường hợp SP/DV có phát triển mới/cải tiến HTTT để vận hành SP/DV
a. Phiếu yêu cầu phát triển CNTT (PYC)(QF-50/CNTT)(*)
11.1 £
b. Bảng phân tích rủi ro CNTT QF-88/QLRRHĐ
Tài liệu đặc tả/ tài liệu yêu cầu nghiệp vụ (BRD)(QF –
11.2 £
90/CNTT) (*)
Tài liệu phân tích đánh giá yêu cầu nghiệp vụ (FRS)(QF–
11.3 £
02/CNTT) (*)
Kế hoạch phát hành phần mềm sản phẩm (RLP)
11.4 £
(QF-102/CNTT) (*)
Thiết kế kiến trúc và đặc tả kỹ thuật (TSD) (QF - 99/CNTT)(*)
Ghi chú:
TSD phải được xây dựng tuân thủ yêu cầu của Điều 37.
Yêu cầu về an toàn, bảo mật các hệ thống thông tin -
Thông Tư 09
Trong trường hợp có mô tả giao thức mã hóa dữ liệu đang
được truyền tải và lưu trữ (Encryption of data in transit and
11.5 £
Data at rest), dùng chung biểu mẫu này.
Áp dụng cho các SP/DV/HTTT có chứa các thông tin bí
mật phải được mã hóa hoặc áp dụng các biện pháp bảo
mật thông tin trước khi trao đổi. Đối với HTTT cấp độ 5, tổ
chức phải sử dụng kết nối mạng an toàn và các thiết bị,
phương tiện chuyên dụng để mã hóa, giải mã thông tin bí
mật và khi trao đổi thông tin. (chi tiết tham khảo Điều 24-
Trao đổi thông tin – Thông Tư 09).
Kế hoạch kiểm thử (chiến lược kiểm thử) (TSP) (QF -
11.6 £
100/CNTT) (*)
11.7 Kế hoạch kiểm tra đánh giá an toàn thông tin (theo yêu cầu của £
QF-26/QLRRHĐ-11.21
5/11
Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
Điều 42. Kiểm tra, đánh giá an toàn thông tin - Thông tư 09
(*))
11.8 Kịch bản kiểm thử (KBTN) (QF - 53/CNTT )(*) £
Các dữ liệu kiểm tra, thử nghiệm (Test Data) & Báo cáo kết
quả các biện pháp che giấu (Data masking) hoặc thay đổi đối
với dữ liệu chứa thông tin khách hàng và thông tin bí mật trước
11.9 £
khi đưa vào môi trường kiểm thử (theo yêu cầu của Điều 40.
An toàn, bảo mật trong quá trình phát triển phần mềm -
Thông tư 09 (*))
II. Tài liệu tùy nghi
Phản hồi ý kiến đơn vị PTSP đối với những ý kiến của Phòng
12 QLRRHĐ ở giai đoạn 1 (nếu có) có xác nhận của TĐV Hội £
sở/người được TĐV Hội sở ủy quyền.
13. Trường hợp SP/DV có liên quan đến hoạt động thuê ngoài/bên thứ 3: cung cấp tài liệu theo mục G. LIÊN
QUAN ĐẾN HOẠT ĐỘNG THUÊ NGOÀI/BÊN THỨ 3 bên dưới
A. GIAI ĐOẠN 4 –TRIỂN KHAI THỬ NGHIỆM
Ghi chú: Penetration Test là bắt buộc phải thực hiện đối với
2.3.6 các hệ thống thông tin có kết nối và cung cấp thông tin, dịch vụ
ra Internet, kết nối với khách hàng và bên thứ ba theo yêu cầu
của Điều 42. Kiểm tra, đánh giá an toàn thông tin – Thông
Tư 09
2.4 Báo cáo rà soát bảo mật mã nguồn (Review code)(*) £
2.5 Biên bản nghiệm thu (BBNT - UAT) (QF – 51/CNTT)(*) £
D. GIAI ĐOẠN 5 –TRIỂN KHAI SP/DV
Tài liệu trình triển khai thử nghiệm SP (đã được phê
1 duyệt)
Biên bản họp hoặc văn bản thể hiện ý kiến của Nhóm
2 đánh giá ý tưởng D1 hoặc Nhóm hỗ trợ triển khai sản
phẩm (SUPPORT)- S1 theo quy định
Kết quả phê duyệt của cấp thẩm quyền tại giai đoạn 3-Xây
3
dựng
Tờ trình SP/DV (bản thảo) để trình cấp thẩm quyền phê duyệt
cho Giai đoạn 5 trước khi triển khai sản phẩm theo quy định
Mẫu áp dụng:
QF-02a/TKPT: đối với PTST tín dụng;
4 £ £
QF-02b/TKPT: đối với PTSP khác
Ghi chú: Tờ trình SP/DV có thể không sử dụng đúng mẫu
nhưng phải đảm bảo tối thiểu các nội dung được thể hiện trong
các mẫu trên.
Báo cáo ghi nhận các lỗi/rủi ro phát sinh và hướng giải quyết
5 trong quá trình Golive, có xác nhận của các Bên liên quan đến £ £
việc triển khai SP/DV/HTTT
6 Báo cáo kết quả triển khai thử nghiệm SP (QF-04/TKPT) £ £
7 Trường hợp SP/DV có phát triển mới/cải tiến HTTT để vận hành SP/DV
8.1 Tài liệu/Sổ tay vận hành (OPM) (QF-92/CNTT) (*)
8.2 Hướng dẫn cài đặt/triển khai/ban giao (QF-93/CNTT) (*)
8.3 Công văn triển khai triển khai ứng dụng (QF-N.14/CNTT) (*)
QF-26/QLRRHĐ-11.21
7/11
Tên chứng từ Có Không Thời gian dự kiến cung
cấp/ Lý do không cung
cấp hoặcThời gian đã
cung cấp (nếu tài liệu
lần sau không thay đổi
nội dung so với lần đã
cung cấp trước đây)
Kế hoạch chi tiết công tác tích hợp (QF- 97/CNTT) (*) đảm
bảo những nội dung tối thiểu bao gồm:
1. Báo cáo ghi nhận các lỗi/rủi ro phát sinh và hướng giải
quyết trong quá trình kiểm thử tiền Golive (Dress
Rehershal), có xác nhận của các Bên liên quan đến việc
triển khai SP/DV/HTTT
8.5
2. Báo cáo ghi nhận công việc Backup Source cũ
3. Kịch bản chi tiết các bước Golive & Rollback/ Fallback, có
xác nhận của các Bên liên quan đến việc triển khai
SP/DV/HTTT
4. Kế hoạch & kết quả Rollback/Fallback, có xác nhận của
các Bên liên quan đến việc triển khai SP/DV/HTTT
Danh sách kiểm tra chuẩn bị triển khai phần mềm (DRC)(QF-
8.6
103/CNTT)(*)
8.7 Tờ trình cấp phép Golive ( QF-N.15/CNTT)(*)
B. GIAI ĐOẠN 6 – VẬN HÀNH SP/DV/HTTT (SAU KHI TRIỂN KHAI)
QF-26/QLRRHĐ-11.21
10/11
Hệ thống thông tin (HTTT) là một tập hợp các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu
và hệ thống mạng để tạo lập, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ
cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của tổ chức.
Tất cả những tài liệu liệt kệ trên phải có xác nhận, rà soát và phê duyệt của cấp có thẩm quyền/
người đại diện hợp pháp, đảm bảo tính xác thực của tài liệu.
(*) Bao gồm các biễu mẫu (QF) được quy định trong Thủ Tục phát triển phần mềm (SDLC) được
ban hành trong tháng 08/2021.Các nhân sự thực hiện, kiểm soát, phê duyệt các biểu mẫu cũng được
quy định trong Mục 7 của SDLC.
QF-26/QLRRHĐ-11.21
11/11