Thông tư 01/2011/TT-NHNN quy định việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành

Số hiệu 01/2011/TT-NHNN
Ngày ban hành 21/02/2011
Ngày có hiệu lực 07/04/2011
Loại văn bản Thông tư
Cơ quan ban hành Ngân hàng Nhà nước
Người ký Nguyễn Toàn Thắng
Lĩnh vực Tiền tệ - Ngân hàng,Công nghệ thông tin

NGÂN HÀNG NHÀ NƯỚC
VIỆT NAM
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 01/2011/TT-NHNN

Hà Nội, ngày 21 tháng 02 năm 2011

 

THÔNG TƯ

QUY ĐỊNH VIỆC ĐẢM BẢO AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG NGÂN HÀNG

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16/6/2010;
Căn cứ Luật các Tổ chức tín dụng số 47/2010/QH12 ngày 16/6/2010;
Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/6/2006;
Căn cứ Nghị định số 96/2008/NĐ-CP ngày 26/8/2008 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;
Ngân hàng Nhà nước Việt Nam quy định về việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng như sau:

Chương 1.

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Thông tư này quy định các yêu cầu đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin (CNTT) trong hoạt động ngân hàng.

2. Thông tư này áp dụng đối với Ngân hàng Nhà nước Việt Nam; các tổ chức tín dụng; chi nhánh ngân hàng nước ngoài (sau đây gọi chung là đơn vị).

Điều 2. Giải thích từ ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Hệ thống công nghệ thông tin: là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của ngân hàng.

2. Tài sản CNTT: là các trang thiết bị, thông tin thuộc hệ thống CNTT của đơn vị. Bao gồm:

a) Tài sản vật lý: là các thiết bị CNTT, phương tiện truyền thông và các thiết bị phục vụ cho hoạt động của hệ thống CNTT.

b) Tài sản thông tin: là các dữ liệu, tài liệu liên quan đến hệ thống CNTT. Tài sản thông tin được thể hiện bằng văn bản giấy hoặc dữ liệu điện tử.

c) Tài sản phần mềm: bao gồm các chương trình ứng dụng, phần mềm hệ thống, cơ sở dữ liệu và công cụ phát triển.

3. Rủi ro CNTT: là khả năng xảy ra tổn thất khi thực hiện các hoạt động liên quan đến hệ thống CNTT. Rủi ro CNTT liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành và con người.

4. Quản lý rủi ro: là các hoạt động phối hợp nhằm xác định và kiểm soát các rủi ro CNTT có thể xảy ra.

5. Bên thứ ba: là các tổ chức, cá nhân có chuyên môn được đơn vị thuê hoặc hợp tác với đơn vị nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống CNTT.

6. Hệ thống an ninh mạng: là tập hợp các thiết bị tường lửa; thiết bị kiểm soát, phát hiện truy cập bất hợp pháp; phần mềm quản trị, theo dõi, ghi nhật ký trạng thái an ninh mạng và các trang thiết bị khác có chức năng đảm bảo an toàn hoạt động của mạng, tất cả cùng hoạt động đồng bộ theo một chính sách an ninh mạng nhất quán nhằm kiểm soát chặt chẽ tất cả các hoạt động trên mạng.

7. Tường lửa: là tập hợp các thành phần hoặc một hệ thống các trang thiết bị, phần mềm được đặt giữa hai mạng, nhằm kiểm soát tất cả các kết nối từ bên trong ra bên ngoài mạng hoặc ngược lại.

8. Vi rút: là chương trình máy tính có khả năng lây lan, gây ra hoạt động không bình thường cho thiết bị số hoặc sao chép, sửa đổi, xóa bỏ thông tin lưu trữ trong thiết bị số.

9. Phần mềm độc hại (mã độc): là các phần mềm có tính năng gây hại như vi rút, phần mềm do thám (spyware), phần mềm quảng cáo (adware) hoặc các dạng tương tự khác.

10. Điểm yếu kỹ thuật: là vị trí trong hệ thống CNTT dễ bị tổn thương khi bị tấn công hoặc xâm nhập bất hợp pháp.

Điều 3. Nguyên tắc chung

1. Từng đơn vị phải đảm bảo an toàn, bảo mật hệ thống CNTT của đơn vị mình theo các quy định tại Thông tư này.

2. Kịp thời nhận biết, phân loại, đánh giá và xử lý có hiệu quả các rủi ro CNTT có thể xảy ra trong đơn vị.

3. Xây dựng, triển khai quy chế an toàn, bảo mật hệ thống CNTT trên cơ sở hài hòa giữa lợi ích, chi phí và mức độ chấp nhận rủi ro của đơn vị.

4. Bố trí đủ nguồn lực có chất lượng phù hợp với quy mô nhằm đảm bảo an toàn, bảo mật hệ thống CNTT.

[...]