TT 18/2018/TT-NHNN | TT 09/2020/TT-NHNN | Summarise |
Chương I | Chương I | |
Quy định chung | Quy định chung | |
Điều 1. Phạm vi Điều chỉnh và đối tượng áp dụng | Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng | |
1. Thông tư này quy định về bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng. | 1. Thông tư này quy định những yêu cầu tối thiểu về bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng. | Những yêu cầu tối thiểu. |
2. Thông tư này áp dụng đối với các tổ chức tín dụng (trừ quỹ tín dụng nhân dân, tổ chức tài chính vi mô), chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán (sau đây gọi chung là tổ chức). | 2. Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng, Công ty Cổ phần Thanh toán Quốc gia Việt Nam, Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam, Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam (sau đây gọi chung là tổ chức) có thiết lập và sử dụng hệ thống thông tin phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của tổ chức. | Bổ sung thêm đối tượng áp dụng, TT điều kiện để những đối tượng được liệt kê phải đáp ứng => đối tượng áp dụng. |
Điều 2. Giải thích từ ngữ | Điều 2. Giải thích từ ngữ | |
Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau: | ||
1. Hệ thống thông tin là một tập hợp các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng để tạo lập, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của tổ chức. | N/A | |
2. Tính bí mật của thông tin là bảo đảm thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng. | N/A | |
3. Tính toàn vẹn của thông tin là bảo vệ sự chính xác và đầy đủ của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền. | N/A | |
4. Tính sẵn sàng của thông tin là bảo đảm những người được cấp quyền có thể truy xuất thông tin ngay khi có nhu cầu. | N/A | |
5. An toàn thông tin là sự bảo vệ thông tin số, hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin. | N/A | |
6. Rủi ro công nghệ thông tin là khả năng xảy ra tổn thất khi thực hiện các hoạt động liên quan đến hệ thống thông tin. Rủi ro công nghệ thông tin liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành và con người. | 1. Rủi ro công nghệ thông tin là khả năng xảy ra tổn thất khi thực hiện các hoạt động liên quan đến hệ thống thông tin. Rủi ro công nghệ thông tin liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành và con người. | |
7. Sự cố an ninh mạng (cybersecurity incident) là việc thông tin số, hệ thống thông tin bị tấn công hoặc bị gây nguy hại, ảnh hưởng tới tính bí mật, tính toàn vẹn, tính sẵn sàng. | 2. Sự cố an toàn thông tin là việc thông tin số, hệ thống thông tin bị tấn công hoặc bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng của thông tin. |
TT 09 thay đổi: Cụm từ “sự cố an ninh mạng” thành cụm từ “sự cố an toàn thông tin”. Cụm từ “tính bí mật” thành “tính bảo mật”. Cụm từ “tính toàn vẹn” thành “tính nguyên vẹn”. Cụm từ “tính sẵn sàng” thành “tính khả dụng”. |
8. Điểm yếu về mặt kỹ thuật là thành phần trong hệ thống thông tin dễ bị khai thác, lợi dụng khi bị tấn công hoặc xâm nhập bất hợp pháp. | 3. Điểm yếu về mặt kỹ thuật là thành phần trong hệ thống thông tin dễ bị khai thác, lợi dụng khi bị tấn công hoặc xâm nhập bất hợp pháp. | |
9. Trung tâm dữ liệu bao gồm hạ tầng kỹ thuật (nhà trạm, hệ thống cáp) và hệ thống máy tính cùng các thiết bị phụ trợ được lắp đặt vào đó để xử lý, lưu trữ, trao đổi và quản lý tập trung dữ liệu. | 4. Trung tâm dữ liệu bao gồm hạ tầng kỹ thuật (nhà trạm, hệ thống cáp) và hệ thống máy tính cùng các thiết bị phụ trợ được lắp đặt vào đó để xử lý, lưu trữ, trao đổi và quản lý tập trung dữ liệu. | |
10. Thiết bị di động là thiết bị số được thiết kế có thể di chuyển mà không ảnh hưởng tới khả năng hoạt động, có hệ Điều hành, có khả năng xử lý, kết nối mạng và có màn hình hiển thị như máy tính xách tay, máy tính bảng, điện thoại di động thông minh. | 5. Thiết bị di động là thiết bị số được thiết kế có thể di chuyển mà không ảnh hưởng tới khả năng hoạt động, có hệ điều hành, có khả năng xử lý, kết nối mạng và có màn hình hiển thị như máy tính xách tay, máy tính bảng, điện thoại di động thông minh. | |
11. Vật mang tin là các phương tiện vật chất dùng để lưu giữ và truyền nhận thông tin số. | 6. Vật mang tin là các phương tiện vật chất dùng để lưu giữ và truyền nhận thông tin số. | |
12. Tường lửa là tập hợp các thành phần hoặc một hệ thống các trang thiết bị, phần mềm được đặt giữa hai mạng, nhằm kiểm soát tất cả các kết nối từ bên trong ra bên ngoài mạng hoặc ngược lại. | 7. Tường lửa là tập hợp các thành phần hay một hoặc một số hệ thống các trang thiết bị, phần mềm được đặt giữa hai mạng, nhằm kiểm soát tất cả các kết nối từ bên trong ra bên ngoài mạng hoặc ngược lại. | Tường lửa có thể là “một số” hệ thống các trang thiết bị, phần mềm đặt giữa hai mạng. |
13. Mạng không tin cậy là mạng bên ngoài có kết nối vào mạng của tổ chức và không thuộc sự quản lý của tổ chức hoặc không thuộc sự quản lý của tổ chức tín dụng nước ngoài mà tổ chức có quan hệ như là đơn vị phụ thuộc, hiện diện thương mại tại Việt Nam. | 8. Mạng không tin cậy là mạng bên ngoài có kết nối vào mạng của tổ chức và không thuộc sự quản lý của tổ chức hoặc không thuộc sự quản lý của tổ chức tín dụng nước ngoài mà tổ chức có quan hệ như là đơn vị phụ thuộc, hiện diện thương mại tại Việt Nam. | |
14. Dịch vụ điện toán đám mây là các dịch vụ cung cấp tài nguyên máy tính (computing resources) qua môi trường mạng cho phép nhiều đối tượng sử dụng, có thể Điều chỉnh và thanh toán theo nhu cầu sử dụng. | 9. Dịch vụ điện toán đám mây là các dịch vụ cung cấp tài nguyên máy tính (bao gồm tài nguyên tính toán, tài nguyên kết nối mạng, tài nguyên lưu trữ, tài nguyên phần mềm và các tài nguyên máy tính khác) qua môi trường mạng cho phép nhiều đối tượng sử dụng, có thể điều chỉnh và thanh toán theo nhu cầu sử dụng. |
TT 09 quy định các dịch vụ tài nguyên máy tính bao gồm: 1. Tài nguyên tính toán; 2. Tài nguyên kết nối mạng; 3. Tài nguyên lưu trữ; 4. Tài nguyên phần mềm; 5. Các tài nguyên máy tính khác. |
15. Tài Khoản người sử dụng (tài Khoản) là một tập hợp thông tin đại diện duy nhất cho người sử dụng trên hệ thống thông tin, được sử dụng để đăng nhập và truy cập các tài nguyên được cấp phép trên hệ thống thông tin đó. | 10. Tài khoản người sử dụng (tài khoản) là một tập hợp thông tin đại diện duy nhất cho người sử dụng trên hệ thống thông tin, được sử dụng để đăng nhập và truy cập các tài nguyên được cấp phép trên hệ thống thông tin đó. | |
16. Bên thứ ba là các cá nhân, doanh nghiệp (không bao gồm tổ chức tín dụng nước ngoài và các thành viên thuộc tổ chức tín dụng nước ngoài trong trường hợp tổ chức là đơn vị phụ thuộc, hiện diện thương mại tại Việt Nam của tổ chức tín dụng nước ngoài) có thỏa thuận bằng văn bản (gọi chung là hợp đồng sử dụng dịch vụ) với tổ chức nhằm cung cấp dịch vụ công nghệ thông tin. | 11. Bên thứ ba là các cá nhân, doanh nghiệp (không bao gồm tổ chức tín dụng nước ngoài và các thành viên thuộc tổ chức tín dụng nước ngoài trong trường hợp tổ chức là đơn vị phụ thuộc, hiện diện thương mại tại Việt Nam của tổ chức tín dụng nước ngoài) có thỏa thuận bằng văn bản (gọi chung là hợp đồng sử dụng dịch vụ) với tổ chức nhằm cung cấp dịch vụ công nghệ thông tin. | |
N/A | 12. Người đại diện hợp pháp của tổ chức là người đại diện theo pháp luật của tổ chức tín dụng, doanh nghiệp, Tổng giám đốc (Giám đốc) chi nhánh ngân hàng nước ngoài. | TT 09 quy định người đại diện hợp pháp của tổ chức. |
17. Cấp có thẩm quyền là chức danh hoặc người được người đại diện hợp pháp của tổ chức phân cấp quản lý, phân công, ủy quyền bằng văn bản để thực hiện một hoặc một số chức năng, nhiệm vụ của tổ chức. | 13. Cấp có thẩm quyền là chức danh hoặc người được người đại diện hợp pháp của tổ chức phân cấp quản lý, phân công, ủy quyền bằng văn bản để thực hiện một hoặc một số chức năng, nhiệm vụ của tổ chức. | |
N/A | 14. Xác thực đa yếu tố là phương pháp xác thực yêu cầu tối thiểu hai yếu tố để chứng minh tính đúng đắn của một danh tính. Các yếu tố xác thực bao gồm: (i) Những thông tin mà người dùng biết (số PIN, mã khóa bí mật,...); (ii) Những gì mà người dùng sở hữu (thẻ thông minh, thiết bị token, điện thoại di động ...); (iii) Những dấu hiệu sinh trắc học của người dùng. | TT 09 quy định phương pháp xác thực đa yếu tố |
Điều 3. Nguyên tắc chung | Điều 3. Nguyên tắc chung | |
1. Tổ chức có trách nhiệm bảo đảm an toàn thông tin theo nguyên tắc xác định rõ quyền hạn, trách nhiệm từng bộ phận và cá nhân trong tổ chức. | 1. Tổ chức có trách nhiệm bảo đảm an toàn thông tin theo nguyên tắc xác định rõ quyền hạn, trách nhiệm từng bộ phận và cá nhân trong tổ chức. | |
2. Phân loại hệ thống thông tin theo mức độ quan trọng và áp dụng chính sách an toàn thông tin phù hợp. | 2. Hệ thống thông tin được phân loại theo cấp độ quy định tại Điều 5 Thông tư này và áp dụng chính sách an toàn thông tin phù hợp. | Phân loại hệ thống thông tin theo cấp độ. |
3. Nhận biết, phân loại, đánh giá kịp thời và xử lý có hiệu quả các rủi ro công nghệ thông tin có thể xảy ra trong tổ chức. | 3. Các rủi ro công nghệ thông tin có thể xảy ra trong tổ chức được nhận biết, phân loại, đánh giá kịp thời và xử lý có hiệu quả. | |
4. Xây dựng, triển khai quy chế an toàn thông tin trên cơ sở các quy định tại Thông tư này và hài hòa giữa lợi ích, chi phí và mức độ chấp nhận rủi ro của tổ chức. | 4. Việc xây dựng, triển khai quy chế an toàn thông tin được thực hiện trên cơ sở các quy định tại Thông tư này và hài hòa giữa lợi ích, chi phí và cấp độ chấp nhận rủi ro của tổ chức. | Sử dụng “cấp độ” chấp nhận rủi ro của tổ chức thay thế cho cụm từ “mức độ” chấp nhận rủi ro. |
Điều 4. Phân loại thông tin và hệ thống thông tin | Điều 4. Phân loại thông tin | |
1. Thông tin xử lý, lưu trữ thông qua hệ thống thông tin được phân loại theo thuộc tính bí mật như sau: | Thông tin xử lý, lưu trữ thông qua hệ thống thông tin được phân loại theo thuộc tính bí mật như sau: |
|
a) Thông tin công cộng là thông tin được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó; | 1. Thông tin công cộng là thông tin được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó; | |
b) Thông tin nội bộ là thông tin của tổ chức được phân quyền quản lý, khai thác cho một hoặc một nhóm đối tượng trong tổ chức được xác định danh tính; | 2. Thông tin riêng (hoặc thông tin nội bộ) là thông tin được phân quyền quản lý, khai thác cho một hoặc một nhóm đối tượng được xác định danh tính; | Sử dụng cụm từ “thông tin riêng” để chỉ thông tin nội bộ; |
N/A | 3. Thông tin cá nhân là thông tin định danh khách hàng và các thông tin sau đây: thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch và các thông tin có liên quan khác; | Bổ sung thêm nhóm thông tin cá nhân. |
c) Thông tin bí mật là thông tin: (i) Được xếp ở mức Mật theo quy định của tổ chức và hạn chế đối tượng được tiếp cận; (ii) Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước. | 4. Thông tin bí mật là: (i) Thông tin Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước; (ii) Thông tin hạn chế tiếp cận theo quy định của tổ chức. | Thay đổi các thông tin được xếp vào nhóm thông tin bí mật. |
Điều 5. Phân loại hệ thống thông tin | ||
2. Tiêu chí phân loại theo mức độ quan trọng hệ thống thông tin của các tổ chức: | TT 09 xóa bỏ tiêu chí phân loại hệ thống thông tin. | |
a) Hệ thống thông tin thông thường (mức độ 1) là hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức hoặc phục vụ khách hàng nhưng không xử lý thông tin bí mật; | 1. Đối với hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng, các tổ chức thực hiện phân loại theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ. Đối với các hệ thống thông tin khác, thực hiện phân loại theo quy định tại khoản 2, 3, 4, 5, 6, 7 Điều này. | TT 09 bổ sung thêm hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng. |
b) Hệ thống thông tin quan trọng (mức độ 2) là hệ thống thông tin có một trong các tiêu chí sau: (i) Hệ thống thông tin có xử lý thông tin bí mật; (ii) Hệ thống thông tin phục vụ hoạt động nội bộ hàng ngày của tổ chức và không chấp nhận ngừng vận hành quá 4 giờ làm việc; (iii) Hệ thống thông tin phục vụ khách hàng yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; (iv) Hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến cho khách hàng; | 2. Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức và chỉ xử lý thông tin công cộng. | Phân chia hệ thống thông tin còn lại theo 05 cấp độ. |
c) Hệ thống thông tin đặc biệt quan trọng (mức độ 3) là hệ thống thông tin có một trong các tiêu chí sau: (i) Hệ thống thông tin quốc gia trong ngành Ngân hàng phục vụ phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; (ii) Hệ thống cơ sở hạ tầng thông tin dùng chung trong ngành Ngân hàng phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; | 3. Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí sau: | |
a) Hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức, có xử lý thông tin riêng, thông tin cá nhân của người sử dụng, thông tin hạn chế tiếp cận theo quy định của tổ chức nhưng không xử lý thông tin bí mật nhà nước; | ||
b) Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7; | ||
c) Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một số bộ phận thuộc tổ chức hoặc của tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở. | ||
4. Hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí sau: | ||
a) Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Mật; | ||
b) Hệ thống thông tin phục vụ hoạt động nội bộ hàng ngày của tổ chức và không chấp nhận ngừng vận hành quá 4 giờ làm việc kể từ thời điểm ngừng vận hành; | ||
c) Hệ thống thông tin phục vụ khách hàng yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; | ||
d) Các hệ thống thanh toán sử dụng của bên thứ ba dùng để thanh toán ngoài hệ thống của tổ chức; | ||
đ) Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của tổ chức và của ngành Ngân hàng. | ||
5. Hệ thống thông tin cấp độ 4 là hệ thống thông tin có một trong các tiêu chí sau: | ||
a) Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Tối Mật; | ||
b) Hệ thống thông tin phục vụ khách hàng có xử lý, lưu trữ dữ liệu của 10 triệu khách hàng trở lên; | ||
c) Hệ thống thông tin quốc gia trong ngành Ngân hàng, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước; | ||
d) Các hệ thống thanh toán quan trọng trong ngành Ngân hàng theo quy định của Ngân hàng Nhà nước; | ||
đ) Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của ngành Ngân hàng, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước. | ||
6. Hệ thống thông tin cấp độ 5 là hệ thống thông tin có một trong các tiêu chí sau: | ||
a) Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Tuyệt Mật; | ||
b) Hệ thống thông tin quốc gia trong ngành Ngân hàng phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế; | ||
c) Hệ thống cơ sở hạ tầng thông tin quốc gia trong ngành Ngân hàng phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế. |
Xem bài viết chi tiết tại đây