Đánh giá an ninh bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng
Theo quy định tại Điều 38 Thông tư 31/2015/TT-NHNN Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành thì nội dung này được quy định như sau:
1. Đơn vị phải thực hiện đánh giá an ninh bảo mật hệ thống công nghệ thông tin với các nội dung cơ bản sau:
a) Đánh giá về kiến trúc hệ thống để xác định tính phù hợp của các thiết bị lắp đặt với kiến trúc hệ thống tổng thể và yêu cầu về an ninh bảo mật;
b) Đánh giá tình trạng hoạt động, cấu hình hệ thống công nghệ thông tin đảm bảo hệ thống hoạt động theo các tiêu chuẩn, định mức, yêu cầu kỹ thuật quy định tại Khoản 1 Điều 18 Thông tư này;
c) Kiểm tra cấu hình các thiết bị bảo mật, các hệ thống cấp quyền truy cập tự động, hệ thống quản lý thiết bị đầu cuối, danh sách tài khoản người dùng;
d) Kiểm tra thử nghiệm mức độ an toàn mạng (Penetration Test), bắt buộc phải thực hiện đối với các hệ thống công nghệ thông tin có kết nối và cung cấp thông tin, dịch vụ ra Internet.
2. Định kỳ thực hiện đánh giá an ninh bảo mật hệ thống công nghệ thông tin, tối thiểu như sau:
a) Sáu tháng một lần đối với các trang thiết bị giao tiếp trực tiếp với môi trường bên ngoài như Internet, kết nối với khách hàng và bên thứ ba theo các nội dung tại Điểm b, c, d của Khoản 1 Điều này;
b) Mỗi năm một lần đối với hệ thống công nghệ thông tin quan trọng, hai năm một lần đối với hệ thống công nghệ thông tin khác theo các nội dung tại Khoản 1 Điều này.
3. Kết quả đánh giá phải được lập thành văn bản báo cáo thủ trưởng đơn vị. Đối với các nội dung chưa tuân thủ quy định về an toàn bảo mật trong hoạt động công nghệ thông tin (nếu có) phải đề xuất biện pháp, kế hoạch, thời hạn xử lý, khắc phục.
Trên đây là nội dung tư vấn về Đánh giá an ninh bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng. Để hiểu rõ hơn về vấn đề này vui lòng tham khảo thêm tại Thông tư 31/2015/TT-NHNN.
Trân trọng!