Mục 6 Chương 2 Thông tư 31/2015/TT-NHNN Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành

1. Đánh giá về năng lực kỹ thuật, nhân sự, khả năng tài chính của bên thứ ba trước khi ký kết hợp đồng cung cấp hàng hóa, dịch vụ.

2. Xác định rõ trách nhiệm, quyền hạn và nghĩa vụ của các bên về an toàn, bảo mật công nghệ thông tin khi ký hợp đồng. Hợp đồng với bên thứ ba phải bao gồm các điều khoản về việc xử lý vi phạm và trách nhiệm bồi thường thiệt hại của bên thứ ba do vi phạm của bên thứ ba gây ra.

3. Xác định, đánh giá các rủi ro có thể phát sinh và áp dụng các biện pháp quản lý rủi ro đối với hệ thống công nghệ thông tin của đơn vị liên quan tới việc thực hiện hợp đồng của bên thứ ba.

4. Đơn vị không được thuê bên thứ ba thực hiện toàn bộ công việc quản trị (chỉnh sửa cấu hình, dữ liệu, nhật ký) đối với các hệ thống công nghệ thông tin quan trọng.

1. Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định của đơn vị về an toàn bảo mật hệ thống công nghệ thông tin.

2. Giám sát và kiểm tra các dịch vụ do bên thứ ba cung cấp đảm bảo mức độ cung cấp dịch vụ, khả năng hoạt động hệ thống đáp ứng đúng theo thỏa thuận đã ký kết.

3. Đảm bảo triển khai, duy trì các biện pháp an toàn, bảo mật của dịch vụ do bên thứ ba cung cấp theo đúng thỏa thuận.

4. Quản lý các thay đổi đối với các dịch vụ của bên thứ ba cung cấp bao gồm: Nâng cấp phiên bản mới; sử dụng các kỹ thuật mới, các công cụ và môi trường phát triển mới. Đánh giá đầy đủ tác động của việc thay đổi, đảm bảo an toàn khi được đưa vào sử dụng.

5. Xác định và ghi rõ các tính năng an toàn, các mức độ bảo mật của dịch vụ và yêu cầu quản lý trong các thỏa thuận về dịch vụ do bên thứ ba cung cấp.

6. Áp dụng các biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba khi cho phép họ truy cập vào hệ thống công nghệ thông tin của đơn vị.

7. Giám sát nhân sự của bên thứ ba trong quá trình thực hiện hợp đồng. Khi phát hiện nhân sự bên thứ ba vi phạm quy định về an toàn bảo mật phải thông báo và phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời.

8. Thu hồi quyền truy cập hệ thống công nghệ thông tin đã được cấp cho bên thứ ba, thay đổi các khóa, mã khóa bí mật nhận bàn giao từ bên thứ ba ngay sau khi hoàn thành công việc hoặc kết thúc hợp đồng.

1. Ký và thực hiện cam kết bảo mật thông tin cả trong quá trình triển khai và sau khi hoàn tất hợp đồng.

2. Lập kế hoạch, bố trí nhân sự và các nguồn lực khác để thực hiện hợp đồng. Thông báo danh sách nhân sự triển khai cho bên ký kết hợp đồng và phải được đơn vị chấp thuận. Nhân sự bên thứ ba phải ký cam kết không tiết lộ thông tin quan trọng của bên ký kết hợp đồng.

3. Phổ biến các quy định, quy chế an toàn bảo mật của bên ký kết hợp đồng cho nhân sự tham gia triển khai và thực hiện biện pháp giám sát đảm bảo sự tuân thủ. Tạm dừng hoặc đình chỉ hoạt động, thu hồi quyền truy cập và thông báo ngay cho bên ký kết hợp đồng khi phát hiện nhân sự vi phạm quy định về an toàn bảo mật. Bồi thường thiệt hại do nhân sự tham gia thực hiện hợp đồng gây ra.

4. Hồ sơ nghiệm thu hợp đồng phải bao gồm báo cáo chi tiết về mặt kỹ thuật, hồ sơ hoàn công lắp đặt thiết bị, cấu hình phần mềm, hướng dẫn vận hành (nếu có) theo các nội dung công việc bên thứ ba đã thực hiện.

5. Bàn giao tài sản, quyền truy cập hệ thống công nghệ thông tin do bên ký kết hợp đồng cung cấp khi hoàn thành công việc hoặc kết thúc hợp đồng.