Điều 38 Thông tư 31/2015/TT-NHNN Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành
Điều 38. Đánh giá an ninh bảo mật hệ thống công nghệ thông tin
1. Đơn vị phải thực hiện đánh giá an ninh bảo mật hệ thống công nghệ thông tin với các nội dung cơ bản sau:
a) Đánh giá về kiến trúc hệ thống để xác định tính phù hợp của các thiết bị lắp đặt với kiến trúc hệ thống tổng thể và yêu cầu về an ninh bảo mật;
b) Đánh giá tình trạng hoạt động, cấu hình hệ thống công nghệ thông tin đảm bảo hệ thống hoạt động theo các tiêu chuẩn, định mức, yêu cầu kỹ thuật quy định tại
c) Kiểm tra cấu hình các thiết bị bảo mật, các hệ thống cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối, danh sách tài khoản người dùng;
d) Kiểm tra thử nghiệm mức độ an toàn mạng (Penetration Test), bắt buộc phải thực hiện đối với các hệ thống công nghệ thông tin có kết nối và cung cấp thông tin, dịch vụ ra Internet.
2. Định kỳ thực hiện đánh giá an ninh bảo mật hệ thống công nghệ thông tin, tối thiểu như sau:
a) Sáu tháng một lần đối với các trang thiết bị giao tiếp trực tiếp với môi trường bên ngoài như Internet, kết nối với khách hàng và bên thứ ba theo các nội dung tại Điểm b, c, d của Khoản 1 Điều này;
b) Mỗi năm một lần đối với hệ thống công nghệ thông tin quan trọng, hai năm một lần đối với hệ thống công nghệ thông tin khác theo các nội dung tại Khoản 1 Điều này.
3. Kết quả đánh giá phải được lập thành văn bản báo cáo thủ trưởng đơn vị. Đối với các nội dung chưa tuân thủ quy định về an toàn bảo mật trong hoạt động công nghệ thông tin (nếu có) phải đề xuất biện pháp, kế hoạch, thời hạn xử lý, khắc phục.
Thông tư 31/2015/TT-NHNN Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành
- Số hiệu: 31/2015/TT-NHNN
- Loại văn bản: Thông tư
- Ngày ban hành: 28/12/2015
- Nơi ban hành: Quốc hội
- Người ký: Nguyễn Toàn Thắng
- Ngày công báo: Đang cập nhật
- Số công báo: Từ số 79 đến số 80
- Ngày hiệu lực: 01/03/2016
- Tình trạng hiệu lực: Kiểm tra
- Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
- Điều 2. Giải thích từ ngữ
- Điều 3. Nguyên tắc chung
- Điều 4. Quy chế an toàn, bảo mật hệ thống công nghệ thông tin
- Điều 5. Quản lý tài sản công nghệ thông tin
- Điều 6. Quản lý tài sản vật lý
- Điều 7. Quản lý tài sản thông tin
- Điều 8. Quản lý tài sản phần mềm
- Điều 9. Quản lý sử dụng thiết bị di động
- Điều 10. Quản lý sử dụng vật mang tin
- Điều 11. Tuyển dụng hoặc phân công nhiệm vụ
- Điều 12. Quản lý sử dụng nguồn nhân lực
- Điều 13. Chấm dứt hoặc thay đổi công việc
- Điều 14. Yêu cầu chung đối với nơi lắp đặt trang thiết bị công nghệ thông tin
- Điều 15. Yêu cầu đối với trung tâm dữ liệu
- Điều 16. An toàn, bảo mật tài sản vật lý
- Điều 17. Trách nhiệm quản lý và quy trình vận hành của các đơn vị
- Điều 18. Lập kế hoạch và chấp nhận hệ thống công nghệ thông tin
- Điều 19. Sao lưu dự phòng
- Điều 20. Quản lý về an toàn, bảo mật mạng
- Điều 21. Trao đổi thông tin
- Điều 22. Quản lý dịch vụ giao dịch trực tuyến
- Điều 23. Giám sát và ghi nhật ký hoạt động của hệ thống công nghệ thông tin
- Điều 24. Phòng chống mã độc
- Điều 25. Yêu cầu nghiệp vụ đối với kiểm soát truy cập
- Điều 26. Quản lý truy cập mạng nội bộ
- Điều 27. Quản lý truy cập hệ điều hành
- Điều 28. Quản lý truy cập Internet
- Điều 29. Kiểm soát truy cập thông tin và ứng dụng
- Điều 30. Ký kết hợp đồng với bên thứ ba
- Điều 31. Trách nhiệm của đơn vị trong quản lý các dịch vụ do bên thứ ba cung cấp
- Điều 32. Trách nhiệm của bên thứ ba khi cung cấp dịch vụ công nghệ thông tin
- Điều 33. Yêu cầu về an toàn, bảo mật cho các hệ thống công nghệ thông tin
- Điều 34. Đảm bảo an toàn, bảo mật các ứng dụng
- Điều 35. Quản lý mã hóa
- Điều 36. An toàn, bảo mật đối với chương trình nguồn, dữ liệu kiểm thử và các tệp tin cấu hình hệ thống
- Điều 37. Quản lý sự thay đổi hệ thống công nghệ thông tin
- Điều 38. Đánh giá an ninh bảo mật hệ thống công nghệ thông tin
- Điều 39. Quản lý các điểm yếu về mặt kỹ thuật