Trong hoạt động ngân hàng thì các tổ chức thực hiện sao lưu dự phòng bảo đảm an toàn dữ liệu được thực hiện như thế nào?

Nội dung chính

• Việc lập kế hoạch và chấp nhận hệ thống thông tin trong hoạt động ngân hàng được quy định như thế nào?
• Trong hoạt động ngân hàng thì các tổ chức thực hiện sao lưu dự phòng bảo đảm an toàn dữ liệu được thực hiện như thế nào?
• Trách nhiệm quản lý và quy trình vận hành đối với hệ thống thông tin của tổ chức hoạt động ngân hàng được quy định như thế nào?

Việc lập kế hoạch và chấp nhận hệ thống thông tin trong hoạt động ngân hàng được quy định như thế nào?

Căn cứ theo Điều 21 Thông tư 09/2020/TT-NHNN quy định như sau:

Lập kế hoạch và chấp nhận hệ thống thông tin

1. Tổ chức xây dựng tiêu chuẩn, định mức, yêu cầu kỹ thuật để bảo đảm hoạt động bình thường đối với tất cả các hệ thống thông tin hiện có và các hệ thống thông tin khác trước khi đưa vào áp dụng chính thức.

2. Căn cứ các tiêu chuẩn, định mức, yêu cầu kỹ thuật đã xây dựng, tổ chức giám sát, tối ưu hiệu suất của hệ thống thông tin; đánh giá khả năng đáp ứng, tình trạng hoạt động, cấu hình hệ thống của hệ thống thông tin để dự báo, lập kế hoạch mở rộng, nâng cấp bảo đảm khả năng đáp ứng trong tương lai.

3. Tổ chức rà soát, cập nhật tiêu chuẩn, định mức, yêu cầu kỹ thuật khi có sự thay đổi đối với hệ thống thông tin; thực hiện đào tạo và chuyển giao kỹ thuật đối với những nội dung thay đổi cho các nhân sự có liên quan.

Như vậy việc lập kế hoạch và chấp nhận hệ thống thông tin trong hoạt động ngân hàng được quy định tại Thông tư 09/2020/TT-NHN, cụ thể tại Điều 21 của Thông tư này.

Hoạt động ngân hàng (Hình từ Internet)

Trong hoạt động ngân hàng thì các tổ chức thực hiện sao lưu dự phòng bảo đảm an toàn dữ liệu được thực hiện như thế nào?

Căn cứ theo Điều 22 Thông tư 09/2020/TT-NHNN quy định như sau:

Sao lưu dự phòng

Tổ chức thực hiện sao lưu dự phòng bảo đảm an toàn dữ liệu như sau:

1. Lập danh sách hệ thống thông tin theo cấp độ quan trọng cần được sao lưu, kèm theo thời gian lưu trữ, định kỳ sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.

2. Dữ liệu của các hệ thống thông tin từ cấp độ 3 trở lên phải có phương án tự động sao lưu phù hợp với tần suất thay đổi của dữ liệu và bảo đảm nguyên tắc dữ liệu phát sinh phải được sao lưu trong vòng 24 giờ; dữ liệu của các hệ thống thông tin còn lại thực hiện sao lưu định kỳ theo quy định của tổ chức.

3. Dữ liệu sao lưu của các hệ thống thông tin từ cấp độ 3 trở lên phải được lưu trữ ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương tiện lưu trữ khác) và cất giữ, bảo quản an toàn tách rời với khu vực lắp đặt hệ thống thông tin nguồn ngay trong ngày làm việc tiếp theo ngày hoàn thành việc sao lưu.

4. Kiểm tra, phục hồi dữ liệu sao lưu từ phương tiện lưu trữ ngoài theo định kỳ tối thiểu:

a) Một năm một lần đối với hệ thống thông tin từ cấp độ 3 trở lên;

b) Hai năm một lần với các hệ thống khác.

Như vậy trong hoạt động ngân hàng thì các tổ chức thực hiện sao lưu dự phòng bảo đảm an toàn dữ liệu được thực hiện như sau:

- Lập danh sách hệ thống thông tin theo cấp độ quan trọng cần được sao lưu kèm theo các thông tin như quy định;

- Dữ liệu của các hệ thống thông tin từ cấp độ 3 trở lên phải có phương án tự động sao lưu phù hợp theo quy định;

- Dữ liệu sao lưu của các hệ thống thông tin từ cấp độ 3 trở lên phải được lưu trữ ra phương tiện lưu trữ ngoài và bảo quản an toàn;

- Kiểm tra, phục hồi dữ liệu sao lưu từ phương tiện lưu trữ ngoài theo định kỳ.

Trách nhiệm quản lý và quy trình vận hành đối với hệ thống thông tin của tổ chức hoạt động ngân hàng được quy định như thế nào?

Căn cứ theo Điều 20 Thông tư 09/2020/TT-NHNN quy định như sau:

Trách nhiệm quản lý và quy trình vận hành của tổ chức

1. Tổ chức ban hành các quy trình, tài liệu vận hành đối với hệ thống thông tin từ cấp độ 3 trở lên, tối thiểu bao gồm các nội dung: quy trình bật, tắt hệ thống; quy trình sao lưu, phục hồi dữ liệu; quy trình vận hành ứng dụng; quy trình xử lý sự cố; quy trình giám sát và ghi nhật ký hoạt động của hệ thống. Trong đó phải xác định rõ phạm vi, trách nhiệm của người sử dụng, vận hành hệ thống. Định kỳ tối thiểu mỗi năm một lần, tổ chức thực hiện rà soát, cập nhật, bổ sung các quy trình vận hành hệ thống thông tin để phù hợp thực tế.

2. Tổ chức triển khai các quy trình đến toàn bộ các đối tượng tham gia vận hành và giám sát tuân thủ việc thực hiện các quy trình đã ban hành.

3. Môi trường vận hành của hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng phải đáp ứng yêu cầu:

a) Tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm;

b) Áp dụng các giải pháp bảo đảm an toàn thông tin;

c) Không cài đặt các công cụ, phương tiện phát triển ứng dụng;

d) Loại bỏ hoặc tắt các tính năng, phần mềm tiện ích không sử dụng trên hệ thống thông tin.

4. Đối với hệ thống thông tin xử lý giao dịch khách hàng phải đáp ứng yêu cầu sau:

a) Không để một cá nhân được đồng thời thực hiện các công việc khởi tạo và phê duyệt một giao dịch;

b) Áp dụng xác thực đa yếu tố tại bước phê duyệt cuối cùng khi thực hiện giao dịch tài chính phát sinh chuyển tiền điện tử liên ngân hàng có giá trị từ 100 triệu đồng trở lên (ngoại trừ hệ thống thanh toán xuyên suốt (Straight Though Process) đã có biện pháp xác thực tự động giao dịch giữa các hệ thống liên thông);

c) Áp dụng các biện pháp bảo đảm tính toàn vẹn dữ liệu giao dịch;

d) Mọi thao tác trên hệ thống phải được lưu vết, sẵn sàng cho kiểm tra, kiểm soát khi cần thiết.