Nghiên tiêu điểm cứu trao đổi
Thông tư 09 và triển khai an toàn
hệ thống thông tin tại bidv Việt Hà
Có hiệu lực thi hành từ ngày 01/01/2021, Thông tư 09/2020/TT-NHNN là văn bản quan trọng quy định các yêu cầu tối thiểu nhằm đảm bảo an toàn hệ thống thông tin trong hoạt động ngân hàng.
Đ
ây là thông tư thay thế Thông tư 18/2018/ TT-NHNN. BIDV là một trong những tổ chức tín dụng thuộc phạm vi áp dụng Thông tư này. Những điểm mới của Thông tư 09 Thông tư 09 gồm 3 chương 57 điều quy định các nội dung phải thực hiện nhằm đảm bảo an toàn hệ thống thông tin của đơn vị theo 10 nhóm như sau: Quản lý tài sản CNTT; Quản lý nguồn nhân lực; Đảm bảo an toàn lắp đặt thiết bị CNTT; Quản lý vận hành, trao đổi thông tin; Quản lý truy cập; Quản lý sử dụng dịch vụ CNTT bên thứ ba; Quản lý tiếp nhận, phát triển, duy trì hệ thống CNTT; Quản lý sự cố an toàn hệ thống thông tin; Đảm bảo hoạt động liên tục hệ thống thông tin; Kiểm tra nội bộ và chế độ báo cáo. Thông tư 09 đã điều chỉnh, bổ sung các nội dung mà Thông tư 18 chưa rõ hoặc chưa được quy định. Việc điều chỉnh, bổ sung đã căn bản thay đổi các khái niệm để thống nhất giữa các văn bản quy định về an toàn thông tin như Luật An toàn thông tin mạng, phân loại hệ thống thông tin và các nội dung liên quan chi tiết. Cụ thể, phân loại thông tin được xác định lại và bổ sung định nghĩa mới về thông tin cá nhân, điều chỉnh phân loại thông tin. Phân loại hệ thống thông tin được thực hiện theo 5 cấp độ từ thấp đến cao tương ứng với mức độ quan trọng của hệ thống thông tin, thay vì 3 cấp độ như quy định trước đây. Thông tư 09 tập trung quy định an toàn đối với hệ thống thông
54
tin cấp độ 3 trở lên. Đây là các hệ thống xử lý thông tin nhà nước ở cấp độ Mật, Tối Mật, Tuyệt Mật; hoặc Hệ thống thông tin phục vụ khách hàng yêu cầu vận hành 24/7, không chấp nhận ngừng hệ thống khi không có kế hoạch; hoặc Hệ thống cơ sở hạ tầng thông tin quốc gia trong ngành ngân hàng phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế. Việc áp dụng xác thực đa yếu tố tại bước phê duyệt cuối cùng khi thực hiện giao dịch tài chính phát sinh chuyển tiền điện tử liên ngân hàng có giá trị từ 100 triệu đồng trở lên (ngoại trừ hệ thống thanh toán xuyên suốt) đã có biện pháp xác thực tự động giao dịch giữa các hệ thống liên thông. Triển khai thực hiện tại BIDV Trong năm 2021, BIDV đã thực hiện rà soát đồng bộ hệ thống văn bản chế độ CNTT, các chương trình ứng dụng chuyển tiền. Theo đó, 11 phần mềm đã được chỉnh sửa chương trình; 7 quy định được cập
Đầu tư Phát triển Số 290 Tháng 9. 2021
nhật, sửa đổi ban hành lại trong năm 2021 bao gồm Quy chế An toàn bảo mật hệ thống thông tin, Quy chế Phục hồi thảm họa hệ thống CNTT, Quy định Quản lý rủi ro trong quá trình hợp tác của đối tác CNTT tại BIDV, Quy định Chuẩn kiến trúc phần mềm, Quy định Quản trị vận hành hệ thống ứng dụng CNTT, Quy trình kịch bản ứng cứu sự cố an ninh mạng, Sổ tay Quản trị vận hành hệ thống cơ sở hạ tầng. Bên cạnh việc rà soát phù hợp với các điểm mới của Thông tư 09 nêu trên, một nội dung quan trọng đối với hoạt động hệ thống CNTT là xây dựng kế hoạch dự phòng thảm họa hệ thống thông tin. Năm 2021, kế hoạch dự phòng thảm họa hệ thống CNTT được thực hiện với 3 cấu phần chính. Theo đó, dự kiến BIDV tiếp tục xây dựng bổ sung hệ thống dự phòng cho 10 hệ thống, 33 hệ thống được kiểm tra kỹ thuật/duy trì hoạt động trên môi trường dự phòng thảm họa và 5 hệ thống thực hiện diễn tập phục hồi thảm họa. Đối với công tác truyền thông, việc phổ biến kiến thức an toàn thông tin và nâng cao nhận thức tới người dùng trên toàn hệ thống được chú trọng với nhiều văn bản được đề xuất, triển khai như Đề án tuyên truyền, nâng cao nhận thức và phổ biến kiến thức an toàn thông tin giai đoạn 2021 - 2025, triển khai phương án tổng thể đảm bảo an ninh bảo mật CNTTcủa BIDV, triển khai Chỉ thị 01/CT-NHNN về việc tăng cường công tác bảo vệ an ninh mạng ngành Ngân hàng trong tình hình hiện nay...
