Trong hoạt động ngân hàng thì quy định và triển khai việc quản lý kết nối Internet phải đáp ứng yêu cầu nào?

Nội dung chính

• Hệ thống thông tin trong hoạt động ngân hàng được phân loại thành mấy cấp độ?
• Trong hoạt động ngân hàng thì quy định và triển khai việc quản lý kết nối Internet phải đáp ứng yêu cầu nào?
• Xây dựng quy định về trách nhiệm của người sử dụng được cấp quyền truy cập hệ thống thông tin trong hoạt động ngân hàng gồm những nội dung nào?

Hệ thống thông tin trong hoạt động ngân hàng được phân loại thành mấy cấp độ?

Căn cứ theo Điều 5 Thông tư 09/2020/TT-NHNN quy định như sau:

Phân loại hệ thống thông tin

1. Đối với hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng, các tổ chức thực hiện phân loại theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ. Đối với các hệ thống thông tin khác, thực hiện phân loại theo quy định tại khoản 2, 3, 4, 5, 6, 7 Điều này.

2. Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức và chỉ xử lý thông tin công cộng.

3. Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí sau:

a) Hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức, có xử lý thông tin riêng, thông tin cá nhân của người sử dụng, thông tin hạn chế tiếp cận theo quy định của tổ chức nhưng không xử lý thông tin bí mật nhà nước;

b) Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7;

c) Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một số bộ phận thuộc tổ chức hoặc của tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở.

4. Hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí sau:

a) Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Mật;

b) Hệ thống thông tin phục vụ hoạt động nội bộ hàng ngày của tổ chức và không chấp nhận ngừng vận hành quá 4 giờ làm việc kể từ thời điểm ngừng vận hành;

c) Hệ thống thông tin phục vụ khách hàng yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước;

d) Các hệ thống thanh toán sử dụng của bên thứ ba dùng để thanh toán ngoài hệ thống của tổ chức;

đ) Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của tổ chức và của ngành Ngân hàng.

5. Hệ thống thông tin cấp độ 4 là hệ thống thông tin có một trong các tiêu chí sau:

a) Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Tối Mật;

b) Hệ thống thông tin phục vụ khách hàng có xử lý, lưu trữ dữ liệu của 10 triệu khách hàng trở lên;

c) Hệ thống thông tin quốc gia trong ngành Ngân hàng, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước;

d) Các hệ thống thanh toán quan trọng trong ngành Ngân hàng theo quy định của Ngân hàng Nhà nước;

đ) Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của ngành Ngân hàng, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

6. Hệ thống thông tin cấp độ 5 là hệ thống thông tin có một trong các tiêu chí sau:

a) Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Tuyệt Mật;

b) Hệ thống thông tin quốc gia trong ngành Ngân hàng phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế;

c) Hệ thống cơ sở hạ tầng thông tin quốc gia trong ngành Ngân hàng phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế.

7. Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với một cấp độ khác nhau, cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phần cấu thành.

8. Tổ chức thực hiện phân loại hệ thống thông tin theo cấp độ quy định tại khoản 1, 2, 3, 4, 5, 6, 7 Điều này. Hồ sơ, thủ tục thẩm định, phê duyệt hệ thống thông tin theo cấp độ tuân thủ quy định tại Nghị định số 85/2016/NĐ-CP. Đối với hồ sơ đề xuất các hệ thống thông tin cấp độ 4, 5, tổ chức gửi hồ sơ cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) để lấy ý kiến.

9. Danh sách hệ thống thông tin theo cấp độ phải được lập và rà soát, cập nhật sau khi hệ thống được triển khai và định kỳ hàng năm.

Như vậy hệ thống thông tin trong hoạt động ngân hàng được phân loại thành 05 cấp độ. Mỗi cấp độ được thực hiện các tiếu chí tại quy đinh trên.

Hoạt động ngân hàng (Hình từ Internet)

Trong hoạt động ngân hàng thì quy định và triển khai việc quản lý kết nối Internet phải đáp ứng yêu cầu nào?

Căn cứ theo Điều 31 Thông tư 09/2020/TT-NHNN quy định như sau:

Quản lý kết nối Internet

Tổ chức quy định và triển khai việc quản lý kết nối Internet đáp ứng yêu cầu sau:

1. Quy định quản lý kết nối, truy cập sử dụng Internet gồm các nội dung cơ bản sau:

a) Trách nhiệm cá nhân và các bộ phận có liên quan trong khai thác sử dụng Internet;

b) Đối tượng được phép truy cập, kết nối sử dụng Internet;

c) Các hành vi bị cấm, hạn chế;

d) Kiểm soát kết nối, truy cập sử dụng Internet;

đ) Các biện pháp bảo đảm an toàn thông tin khi kết nối Internet.

2. Thực hiện quản lý tập trung, thống nhất các cổng kết nối Internet trong toàn bộ tổ chức.

3. Triển khai các giải pháp an ninh mạng tại các cổng kết nối Internet để bảo đảm an toàn trước các hiểm họa tấn công từ Internet vào mạng nội bộ của tổ chức.

4. Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng và các tấn công, truy cập bất hợp pháp vào hệ thống mạng nội bộ của tổ chức thông qua cổng kết nối Internet.

Như vậy trong hoạt động ngân hàng thì quy định và triển khai việc quản lý kết nối Internet phải đáp ứng yêu cầu như sau:

- Quy định quản lý kết nối, truy cập sử dụng Internet gồm các nội dung cơ bản như quy định;

- Thực hiện quản lý tập trung, thống nhất các cổng kết nối Internet trong toàn bộ tổ chức;

- Triển khai các giải pháp an ninh mạng tại các cổng kết nối Internet;

- Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng và các tấn công, truy cập bất hợp pháp vào hệ thống mạng nội bộ của tổ chức thông qua cổng kết nối Internet.

Xây dựng quy định về trách nhiệm của người sử dụng được cấp quyền truy cập hệ thống thông tin trong hoạt động ngân hàng gồm những nội dung nào?

Căn cứ theo khoản 3 Điều 28 Thông tư 09/2020/TT-NHNN quy định như sau:

Yêu cầu đối với kiểm soát truy cập

...

3. Tổ chức xây dựng quy định về trách nhiệm của người sử dụng khi được cấp quyền truy cập bao gồm các nội dung: sử dụng mã khóa bí mật đúng quy định; giữ bí mật mã khóa bí mật; sử dụng thiết bị, công cụ để truy cập; thoát khỏi hệ thống khi không làm việc hoặc tạm thời không làm việc trên hệ thống.

Như vậy khi xây dựng quy định về trách nhiệm của người sử dụng được cấp quyền truy cập hệ thống thông tin trong hoạt động ngân hàng gồm những nội dung như sau:

- Sử dụng mã khóa bí mật đúng quy định;

- Giữ bí mật mã khóa bí mật;

- Sử dụng thiết bị, công cụ để truy cập;

- Thoát khỏi hệ thống khi không làm việc hoặc tạm thời không làm việc trên hệ thống.