Mục 1 Chương 2 Thông tư 31/2015/TT-NHNN Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành
Mục 1: QUẢN LÝ TÀI SẢN CÔNG NGHỆ THÔNG TIN
Điều 5. Quản lý tài sản công nghệ thông tin
1. Các loại tài sản công nghệ thông tin bao gồm:
a) Tài sản vật lý: các thiết bị công nghệ thông tin, phương tiện truyền thông và các thiết bị phục vụ cho hoạt động của hệ thống công nghệ thông tin;
b) Tài sản thông tin: các dữ liệu, thông tin ở dạng số, tài liệu được thể hiện bằng văn bản giấy hoặc các phương tiện khác;
c) Tài sản phần mềm: các phần mềm hệ thống, phần mềm tiện ích, cơ sở dữ liệu, chương trình ứng dụng và công cụ phát triển.
2. Đơn vị thực hiện việc lập danh sách của tất cả các tài sản công nghệ thông tin, rà soát và cập nhật danh sách này tối thiểu một năm một lần.
3. Căn cứ phân loại tài sản công nghệ thông tin tại Khoản 1 Điều này, đơn vị xây dựng và thực hiện các quy định về quản lý và sử dụng tài sản theo quy định tại
Điều 6. Quản lý tài sản vật lý
1. Danh sách tài sản vật lý được lập với các thông tin cơ bản gồm: tên tài sản, giá trị, mức độ quan trọng, vị trí lắp đặt, mục đích sử dụng, tình trạng sử dụng, thông tin về bản quyền (nếu có).
2. Đơn vị phải xác định, đánh giá mức độ rủi ro, mức độ quan trọng, yêu cầu về tính sẵn sàng của tài sản vật lý để phân loại, sắp xếp tài sản và thực hiện việc trang bị, biện pháp bảo vệ phù hợp. Đối với tài sản vật lý là cấu phần của hệ thống công nghệ thông tin quan trọng tại trung tâm dữ liệu chính phải có biện pháp dự phòng đảm bảo tính sẵn sàng cao cho hoạt động liên tục.
3. Tài sản vật lý phải được giao, gán trách nhiệm cho cá nhân hoặc tập thể quản lý, sử dụng.
4. Tài sản vật lý khi mang ra khỏi đơn vị phải được sự phê duyệt của thủ trưởng đơn vị hoặc người được thủ trưởng ủy quyền. Đối với tài sản vật lý có chứa thông tin, dữ liệu nhạy cảm trước khi mang ra khỏi đơn vị phải thực hiện biện pháp bảo vệ để giữ bí mật đối với thông tin, dữ liệu lưu trữ trên tài sản đó.
5. Đơn vị phải xây dựng kế hoạch, quy trình bảo trì, bảo dưỡng và tổ chức thực hiện đối với từng chủng loại tài sản vật lý theo quy định của Ngân hàng Nhà nước về bảo trì trang thiết bị tin học trong ngành ngân hàng.
6. Tài sản vật lý có lưu trữ dữ liệu nhạy cảm khi thay đổi mục đích sử dụng hoặc thanh lý, đơn vị phải thực hiện các biện pháp xóa, tiêu hủy dữ liệu đó đảm bảo không có khả năng phục hồi. Trường hợp không thể tiêu hủy được dữ liệu, đơn vị phải thực hiện biện pháp tiêu hủy cấu phần lưu trữ dữ liệu trên tài sản đó.
7. Đối với tài sản vật lý là thiết bị di động, vật mang tin, ngoài các quy định tại Điều này, đơn vị xây dựng và thực hiện quản lý theo quy định tại
Điều 7. Quản lý tài sản thông tin
1. Đơn vị phải lập danh mục, quy định về thẩm quyền, trách nhiệm của người được tiếp cận, khai thác đối với các loại tài sản thông tin.
2. Đơn vị phải phân loại và đánh giá mức độ rủi ro, tầm quan trọng dựa trên yêu cầu về tính bảo mật, tính toàn vẹn, tính sẵn sàng cho việc sử dụng của tài sản thông tin để thực hiện các biện pháp quản lý, bảo vệ phù hợp.
3. Đối với tài sản thông tin chứa dữ liệu nhạy cảm, đơn vị phải thực hiện các biện pháp mã hóa để đảm bảo an toàn, bảo mật trong quá trình trao đổi, lưu trữ.
Điều 8. Quản lý tài sản phần mềm
1. Danh sách tài sản phần mềm được lập với các thông tin cơ bản gồm: tên tài sản, giá trị, mức độ quan trọng, mục đích sử dụng, phạm vi sử dụng, chủ thể quản lý, thông tin về bản quyền, phiên bản, nơi lưu giữ.
2. Đơn vị phải phân loại và đánh giá mức độ rủi ro dựa trên yêu cầu về tính bảo mật, tính toàn vẹn, tính sẵn sàng cho việc sử dụng của tài sản phần mềm để thực hiện các biện pháp quản lý, bảo vệ phù hợp.
3. Đơn vị phải xây dựng kế hoạch, quy trình bảo trì và tổ chức thực hiện đối với từng loại tài sản phần mềm theo quy định của Ngân hàng Nhà nước về bảo trì trang thiết bị tin học trong ngành ngân hàng.
Điều 9. Quản lý sử dụng thiết bị di động
1. Các thiết bị di động khi kết nối vào hệ thống mạng nội bộ của đơn vị phải được đăng ký để kiểm soát.
2. Giới hạn phạm vi kết nối từ thiết bị di động đến các dịch vụ, hệ thống thông tin của đơn vị; kiểm soát các kết nối từ thiết bị di động tới các hệ thống thông tin được phép sử dụng tại đơn vị.
3. Đơn vị phải quy định trách nhiệm của người sử dụng thiết bị di động, bao gồm các yêu cầu tối thiểu sau:
a) Bảo vệ thiết bị chống hư hỏng, mất cắp, thất lạc;
b) Kiểm soát các phần mềm được cài đặt; cập nhật các phiên bản phần mềm và các bản vá lỗi trên thiết bị di động;
c) Cài đặt tính năng mã hóa dữ liệu; mã khóa bí mật bảo vệ; phần mềm phòng chống mã độc và các lỗi bảo mật khác;
d) Thiết lập chức năng vô hiệu hóa, khóa thiết bị hoặc xóa dữ liệu từ xa trong trường hợp thất lạc hoặc bị mất cắp;
đ) Sao lưu dữ liệu trên thiết bị di động nhằm bảo vệ, khôi phục dữ liệu khi cần thiết;
e) Thực hiện các biện pháp bảo vệ dữ liệu khi bảo hành, bảo trì, sửa chữa thiết bị di động.
Điều 10. Quản lý sử dụng vật mang tin
Đơn vị có trách nhiệm:
1. Kiểm soát việc đấu nối, gỡ bỏ vật mang tin với thiết bị thuộc hệ thống công nghệ thông tin.
2. Triển khai các biện pháp bảo đảm an toàn vật mang tin khi vận chuyển, lưu trữ.
3. Thực hiện biện pháp bảo vệ đối với dữ liệu nhạy cảm chứa trong vật mang tin.
4. Khi không sử dụng được hoặc sử dụng vật mang tin chứa dữ liệu nhạy cảm cho mục đích khác phải thực hiện xóa, tiêu hủy dữ liệu lưu trữ đảm bảo không có khả năng phục hồi.
5. Quy định trách nhiệm của cá nhân trong quản lý, sử dụng vật mang tin.
Thông tư 31/2015/TT-NHNN Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành
- Số hiệu: 31/2015/TT-NHNN
- Loại văn bản: Thông tư
- Ngày ban hành: 28/12/2015
- Nơi ban hành: Quốc hội
- Người ký: Nguyễn Toàn Thắng
- Ngày công báo: Đang cập nhật
- Số công báo: Từ số 79 đến số 80
- Ngày hiệu lực: 01/03/2016
- Tình trạng hiệu lực: Kiểm tra
- Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
- Điều 2. Giải thích từ ngữ
- Điều 3. Nguyên tắc chung
- Điều 4. Quy chế an toàn, bảo mật hệ thống công nghệ thông tin
- Điều 5. Quản lý tài sản công nghệ thông tin
- Điều 6. Quản lý tài sản vật lý
- Điều 7. Quản lý tài sản thông tin
- Điều 8. Quản lý tài sản phần mềm
- Điều 9. Quản lý sử dụng thiết bị di động
- Điều 10. Quản lý sử dụng vật mang tin
- Điều 11. Tuyển dụng hoặc phân công nhiệm vụ
- Điều 12. Quản lý sử dụng nguồn nhân lực
- Điều 13. Chấm dứt hoặc thay đổi công việc
- Điều 14. Yêu cầu chung đối với nơi lắp đặt trang thiết bị công nghệ thông tin
- Điều 15. Yêu cầu đối với trung tâm dữ liệu
- Điều 16. An toàn, bảo mật tài sản vật lý
- Điều 17. Trách nhiệm quản lý và quy trình vận hành của các đơn vị
- Điều 18. Lập kế hoạch và chấp nhận hệ thống công nghệ thông tin
- Điều 19. Sao lưu dự phòng
- Điều 20. Quản lý về an toàn, bảo mật mạng
- Điều 21. Trao đổi thông tin
- Điều 22. Quản lý dịch vụ giao dịch trực tuyến
- Điều 23. Giám sát và ghi nhật ký hoạt động của hệ thống công nghệ thông tin
- Điều 24. Phòng chống mã độc
- Điều 25. Yêu cầu nghiệp vụ đối với kiểm soát truy cập
- Điều 26. Quản lý truy cập mạng nội bộ
- Điều 27. Quản lý truy cập hệ điều hành
- Điều 28. Quản lý truy cập Internet
- Điều 29. Kiểm soát truy cập thông tin và ứng dụng
- Điều 30. Ký kết hợp đồng với bên thứ ba
- Điều 31. Trách nhiệm của đơn vị trong quản lý các dịch vụ do bên thứ ba cung cấp
- Điều 32. Trách nhiệm của bên thứ ba khi cung cấp dịch vụ công nghệ thông tin
- Điều 33. Yêu cầu về an toàn, bảo mật cho các hệ thống công nghệ thông tin
- Điều 34. Đảm bảo an toàn, bảo mật các ứng dụng
- Điều 35. Quản lý mã hóa
- Điều 36. An toàn, bảo mật đối với chương trình nguồn, dữ liệu kiểm thử và các tệp tin cấu hình hệ thống
- Điều 37. Quản lý sự thay đổi hệ thống công nghệ thông tin
- Điều 38. Đánh giá an ninh bảo mật hệ thống công nghệ thông tin
- Điều 39. Quản lý các điểm yếu về mặt kỹ thuật