Mục 2 Chương 2 Thông tư 09/2020/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành
Điều 13. Tổ chức nguồn nhân lực
1. Người đại diện hợp pháp phải trực tiếp tham gia chỉ đạo và có trách nhiệm trong công tác xây dựng chiến lược, kế hoạch về bảo đảm an toàn thông tin, ứng cứu các sự cố an toàn thông tin xảy ra tại tổ chức.
2. Tổ chức chỉ có hệ thống thông tin từ cấp độ 2 trở xuống chỉ định bộ phận có trách nhiệm đảm bảo an toàn thông tin.
3. Tổ chức quản lý trực tiếp hệ thống thông tin từ cấp độ 3 trở lên thực hiện:
a) Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin có chức năng, nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an toàn thông tin cho tổ chức;
b) Tách biệt nhân sự giữa các nhiệm vụ: (i) Phát triển với quản trị hệ thống thông tin; (ii) Phát triển với vận hành hệ thống thông tin; (iii) Quản trị với vận hành hệ thống thông tin; (iv) Kiểm tra về an toàn thông tin với phát triển, quản trị, vận hành hệ thống thông tin.
Điều 14. Tuyển dụng và phân công nhiệm vụ
Tổ chức tuyển dụng nhân sự và phân công nhiệm vụ theo quy định sau:
1. Xác định trách nhiệm trong việc bảo đảm an toàn thông tin của vị trí cần tuyển dụng hoặc phân công.
2. Xem xét, đánh giá tư cách đạo đức, trình độ chuyên môn thông qua lý lịch, lý lịch tư pháp trước khi phân công nhân sự làm việc tại các vị trí quan trọng của hệ thống thông tin như: vận hành hệ thống thông tin từ cấp độ 3 trở lên hoặc quản trị hệ thống thông tin.
3. Yêu cầu người được tuyển dụng cam kết bảo mật thông tin bằng văn bản riêng hoặc cam kết trong hợp đồng lao động. Cam kết này phải bao gồm các Điều Khoản về trách nhiệm bảo đảm an toàn thông tin trong và sau khi làm việc tại tổ chức.
4. Đào tạo, phổ biến các quy định của tổ chức về an toàn thông tin đối với nhân sự mới tuyển dụng.
Điều 15. Quản lý sử dụng nguồn nhân lực
Tổ chức quản lý nguồn nhân lực như sau:
1. Phổ biến, cập nhật các quy định về an toàn thông tin cho tất cả cá nhân trong tổ chức tối thiểu mỗi năm một lần.
2. Kiểm tra việc tuân thủ các quy định về an toàn thông tin đối với cá nhân, bộ phận trực thuộc tối thiểu mỗi năm một lần.
3. Áp dụng các biện pháp xử lý kỷ luật đối với cá nhân, bộ phận vi phạm quy định an toàn thông tin theo quy định của pháp luật và quy định của tổ chức.
Điều 16. Chấm dứt hoặc thay đổi công việc
Khi cá nhân trong tổ chức chấm dứt hoặc thay đổi công việc, tổ chức thực hiện:
1. Xác định trách nhiệm của cá nhân khi chấm dứt hoặc thay đổi công việc.
2. Yêu cầu cá nhân bàn giao lại tài sản công nghệ thông tin.
3. Thu hồi ngay quyền truy cập hệ thống thông tin của cá nhân nghỉ việc.
4. Thay đổi kịp thời quyền truy cập hệ thống thông tin của cá nhân thay đổi công việc bảo đảm nguyên tắc quyền vừa đủ để thực hiện nhiệm vụ được giao.
5. Rà soát, kiểm tra đối chiếu định kỳ tối thiểu sáu tháng một lần giữa bộ phận hoặc hệ thống quản lý nhân sự và bộ phận quản lý cấp phát, thu hồi quyền truy cập hệ thống thông tin nhằm bảo đảm tuân thủ khoản 3, khoản 4 Điều này.
6. Thông báo cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) các trường hợp cá nhân làm việc trong lĩnh vực công nghệ thông tin của tổ chức bị kỷ luật với hình thức sa thải, buộc thôi việc hoặc bị truy tố về các tội quy định tại Mục 2 Chương XXI Bộ luật Hình sự (Tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông).
Thông tư 09/2020/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành
- Số hiệu: 09/2020/TT-NHNN
- Loại văn bản: Thông tư
- Ngày ban hành: 21/10/2020
- Nơi ban hành: Quốc hội
- Người ký: Nguyễn Kim Anh
- Ngày công báo: Đang cập nhật
- Số công báo: Từ số 1031 đến số 1032
- Ngày hiệu lực: 01/01/2021
- Tình trạng hiệu lực: Kiểm tra
- Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
- Điều 2. Giải thích từ ngữ
- Điều 3. Nguyên tắc chung
- Điều 4. Phân loại thông tin
- Điều 5. Phân loại hệ thống thông tin
- Điều 6. Quy chế an toàn thông tin
- Điều 7. Quản lý tài sản công nghệ thông tin
- Điều 8. Quản lý tài sản thông tin
- Điều 9. Quản lý tài sản vật lý
- Điều 10. Quản lý tài sản phần mềm
- Điều 11. Quản lý sử dụng thiết bị di động
- Điều 12. Quản lý sử dụng vật mang tin
- Điều 13. Tổ chức nguồn nhân lực
- Điều 14. Tuyển dụng và phân công nhiệm vụ
- Điều 15. Quản lý sử dụng nguồn nhân lực
- Điều 16. Chấm dứt hoặc thay đổi công việc
- Điều 17. Yêu cầu chung đối với nơi lắp đặt trang thiết bị công nghệ thông tin
- Điều 18. Yêu cầu đối với trung tâm dữ liệu
- Điều 19. An toàn tài sản vật lý
- Điều 20. Trách nhiệm quản lý và quy trình vận hành của tổ chức
- Điều 21. Lập kế hoạch và chấp nhận hệ thống thông tin
- Điều 22. Sao lưu dự phòng
- Điều 23. Quản lý an toàn, bảo mật hệ thống mạng
- Điều 24. Trao đổi thông tin
- Điều 25. Quản lý hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến
- Điều 26. Giám sát và ghi nhật ký hoạt động của hệ thống thông tin
- Điều 27. Phòng chống mã độc
- Điều 28. Yêu cầu đối với kiểm soát truy cập
- Điều 29. Quản lý truy cập mạng nội bộ
- Điều 30. Quản lý truy cập hệ thống thông tin và ứng dụng
- Điều 31. Quản lý kết nối Internet
- Điều 32. Các nguyên tắc chung về sử dụng dịch vụ của bên thứ ba
- Điều 33. Các yêu cầu khi sử dụng dịch vụ của bên thứ ba
- Điều 34. Tiêu chí lựa chọn bên thứ ba cung cấp dịch vụ điện toán đám mây
- Điều 35. Hợp đồng sử dụng dịch vụ với bên thứ ba
- Điều 36. Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên thứ ba
- Điều 37. Yêu cầu về an toàn, bảo mật các hệ thống thông tin
- Điều 38. Bảo đảm an toàn, bảo mật ứng dụng
- Điều 39. Quản lý mã hóa
- Điều 40. An toàn, bảo mật trong quá trình phát triển phần mềm
- Điều 41. Quản lý sự thay đổi hệ thống thông tin
- Điều 42. Kiểm tra, đánh giá an toàn thông tin
- Điều 43. Quản lý các điểm yếu về mặt kỹ thuật
- Điều 44. Quản lý báo trì hệ thống thông tin
- Điều 45. Quy trình xử lý sự cố
- Điều 46. Kiểm soát và khắc phục sự cố
- Điều 47. Trung tâm Điều hành an ninh mạng
- Điều 48. Hoạt động ứng cứu sự cố an toàn thông tin