Mục 9 Chương 2 Thông tư 09/2020/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành
Mục 9. BẢO ĐẢM HOẠT ĐỘNG LIÊN TỤC CỦA HỆ THỐNG THÔNG TIN
Điều 49. Nguyên tắc bảo đảm hoạt động liên tục
1. Tổ chức thực hiện các yêu cầu tối thiểu sau:
a) Phân tích tác động và đánh giá rủi ro đối với việc gián đoạn hoặc ngừng hoạt động của hệ thống thông tin;
b) Xây dựng quy trình và kịch bản bảo đảm hoạt động liên tục hệ thống thông tin theo quy định tại
c) Tổ chức triển khai bảo đảm hoạt động liên tục theo quy định tại
2. Trên cơ sở phân tích tác động và đánh giá rủi ro tại điểm a khoản 1 Điều này, tổ chức lập danh sách các hệ thống thông tin cần bảo đảm hoạt động liên tục tối thiểu bao gồm các hệ thống thông tin từ cấp độ 3 trở lên.
3. Các hệ thống cần bảo đảm hoạt động liên tục tại khoản 2 Điều này phải bảo đảm tính sẵn sàng cao và có hệ thống dự phòng thảm họa.
Điều 50. Xây dựng hệ thống dự phòng thảm họa
1. Tổ chức xây dựng hệ thống dự phòng thảm họa đáp ứng các yêu cầu sau:
a) Đánh giá rủi ro và xem xét khả năng xảy ra các thảm họa ảnh hưởng đồng thời tới cả hệ thống thông tin chính và hệ thống thông tin dự phòng thảm họa khi lựa chọn địa điểm đặt hệ thống dự phòng thảm họa: thảm họa tự nhiên như động đất, lũ lụt, bão, đại dịch; thảm họa do yếu tố con người và công nghệ như các sự cố về mạng lưới điện, hỏa hoạn, giao thông, tấn công an ninh mạng;
b) Địa điểm đặt hệ thống dự phòng phải đáp ứng các yêu cầu quy định tại
c) Hệ thống dự phòng phải bảo đảm khả năng thay thế hệ thống chính trong khoảng thời gian: (i) 4 giờ đối với các hệ thống thông tin từ cấp độ 3 trở lên (ngoại trừ các hệ thống thông tin xử lý thông tin bí mật nhà nước); (ii) 24 giờ đối với các hệ thống thông tin xử lý thông tin bí mật nhà nước; (iii) Theo thời gian quy định của tổ chức đối với các hệ thống khác.
2. Các tổ chức chỉ có một trụ sở làm việc tại Việt Nam (trừ tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở) phải có văn phòng dự phòng tại một địa điểm khác tách biệt trụ sở làm việc và có trang thiết bị để bảo đảm hoạt động liên tục thay thế trụ sở làm việc.
Điều 51. Xây dựng quy trình, kịch bản bảo đảm hoạt động liên tục
Tổ chức xây dựng quy trình, kịch bản bảo đảm hoạt động liên tục như sau:
1. Xây dựng quy trình xử lý các tình huống mất an toàn, gián đoạn hoạt động của từng cấu phần trong hệ thống thông tin từ cấp độ 3 trở lên.
2. Đối với các tổ chức có cả hệ thống thông tin chính và dự phòng đặt ngoài lãnh thổ Việt Nam phải xây dựng phương án bảo đảm hoạt động liên tục trong trường hợp bị gián đoạn đường truyền kết nối với các hệ thống thông tin chính và dự phòng.
3. Xây dựng kịch bản chuyển đổi hệ thống dự phòng thay thế cho hoạt động của hệ thống chính, bao gồm nội dung công việc, trình tự thực hiện, dự kiến thời gian hoàn thành đáp ứng các nội dung sau:
a) Có các nguồn lực, phương tiện và các yêu cầu cần thiết để thực hiện;
b) Có các mẫu biểu ghi nhận kết quả;
c) Bố trí và phân công trách nhiệm cho nhân sự tham gia với các vai trò: chỉ đạo thực hiện, giám sát, thực hiện chuyển đổi, vận hành chính thức và kiểm tra kết quả;
d) Áp dụng biện pháp bảo đảm an toàn thông tin;
đ) Có phương án bảo đảm hoạt động liên tục khi việc chuyển đổi không thành công.
4. Các tổ chức chỉ có một trụ sở làm việc tại Việt Nam (trừ tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở) phải xây dựng kịch bản chuyển đổi hoạt động sang văn phòng dự phòng.
5. Quy trình, kịch bản chuyển đổi phải được kiểm tra và cập nhật khi có sự thay đổi của hệ thống thông tin, cơ cấu tổ chức, nhân sự và phân công trách nhiệm của các bộ phận có liên quan trong tổ chức.
Điều 52. Tổ chức triển khai bảo đảm hoạt động liên tục
1. Tổ chức phải có kế hoạch và tổ chức triển khai bảo đảm hoạt động liên tục hệ thống thông tin (ngoại trừ các hệ thống thông tin chính và dự phòng hoạt động song song) theo các yêu cầu sau:
a) Tối thiểu sáu tháng một lần, tiến hành kiểm tra, đánh giá hoạt động của hệ thống dự phòng;
b) Thực hiện chuyển hoạt động từ hệ thống chính sang hệ thống dự phòng và hoạt động chính thức trên hệ thống dự phòng tối thiểu 1 ngày làm việc của từng hệ thống thông tin theo danh sách tại
2. Các tổ chức chỉ có một trụ sở làm việc tại Việt Nam (trừ tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở) phải tổ chức thực hiện diễn tập bảo đảm hoạt động liên tục định kỳ hàng năm.
3. Tổ chức phải thông báo kế hoạch, nội dung và kịch bản diễn tập chuyển đổi hoạt động liên tục cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) chậm nhất là 5 ngày làm việc trước khi thực hiện qua địa chỉ thư điện tử antt@sbv.gov.vn.
Thông tư 09/2020/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành
- Số hiệu: 09/2020/TT-NHNN
- Loại văn bản: Thông tư
- Ngày ban hành: 21/10/2020
- Nơi ban hành: Quốc hội
- Người ký: Nguyễn Kim Anh
- Ngày công báo: Đang cập nhật
- Số công báo: Từ số 1031 đến số 1032
- Ngày hiệu lực: 01/01/2021
- Tình trạng hiệu lực: Kiểm tra
- Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
- Điều 2. Giải thích từ ngữ
- Điều 3. Nguyên tắc chung
- Điều 4. Phân loại thông tin
- Điều 5. Phân loại hệ thống thông tin
- Điều 6. Quy chế an toàn thông tin
- Điều 7. Quản lý tài sản công nghệ thông tin
- Điều 8. Quản lý tài sản thông tin
- Điều 9. Quản lý tài sản vật lý
- Điều 10. Quản lý tài sản phần mềm
- Điều 11. Quản lý sử dụng thiết bị di động
- Điều 12. Quản lý sử dụng vật mang tin
- Điều 13. Tổ chức nguồn nhân lực
- Điều 14. Tuyển dụng và phân công nhiệm vụ
- Điều 15. Quản lý sử dụng nguồn nhân lực
- Điều 16. Chấm dứt hoặc thay đổi công việc
- Điều 17. Yêu cầu chung đối với nơi lắp đặt trang thiết bị công nghệ thông tin
- Điều 18. Yêu cầu đối với trung tâm dữ liệu
- Điều 19. An toàn tài sản vật lý
- Điều 20. Trách nhiệm quản lý và quy trình vận hành của tổ chức
- Điều 21. Lập kế hoạch và chấp nhận hệ thống thông tin
- Điều 22. Sao lưu dự phòng
- Điều 23. Quản lý an toàn, bảo mật hệ thống mạng
- Điều 24. Trao đổi thông tin
- Điều 25. Quản lý hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến
- Điều 26. Giám sát và ghi nhật ký hoạt động của hệ thống thông tin
- Điều 27. Phòng chống mã độc
- Điều 28. Yêu cầu đối với kiểm soát truy cập
- Điều 29. Quản lý truy cập mạng nội bộ
- Điều 30. Quản lý truy cập hệ thống thông tin và ứng dụng
- Điều 31. Quản lý kết nối Internet
- Điều 32. Các nguyên tắc chung về sử dụng dịch vụ của bên thứ ba
- Điều 33. Các yêu cầu khi sử dụng dịch vụ của bên thứ ba
- Điều 34. Tiêu chí lựa chọn bên thứ ba cung cấp dịch vụ điện toán đám mây
- Điều 35. Hợp đồng sử dụng dịch vụ với bên thứ ba
- Điều 36. Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên thứ ba
- Điều 37. Yêu cầu về an toàn, bảo mật các hệ thống thông tin
- Điều 38. Bảo đảm an toàn, bảo mật ứng dụng
- Điều 39. Quản lý mã hóa
- Điều 40. An toàn, bảo mật trong quá trình phát triển phần mềm
- Điều 41. Quản lý sự thay đổi hệ thống thông tin
- Điều 42. Kiểm tra, đánh giá an toàn thông tin
- Điều 43. Quản lý các điểm yếu về mặt kỹ thuật
- Điều 44. Quản lý báo trì hệ thống thông tin
- Điều 45. Quy trình xử lý sự cố
- Điều 46. Kiểm soát và khắc phục sự cố
- Điều 47. Trung tâm Điều hành an ninh mạng
- Điều 48. Hoạt động ứng cứu sự cố an toàn thông tin