Hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng là hệ thống thông tin có một trong các tiêu chí nào?

Nội dung chính

• Hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng là hệ thống thông tin có một trong các tiêu chí nào?
• Dữ liệu nhật ký của các hệ thống thông tin cấp độ 2 phải được lưu trực tuyến tối thiểu mấy tháng?
• Yêu cầu về an toàn, bảo mật hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng như thế nào?

Hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng là hệ thống thông tin có một trong các tiêu chí nào?

Hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng được quy định theo khoản 3 Điều 5 Thông tư 09/2020/TT-NHNN như sau:

Phân loại hệ thống thông tin

1. Đối với hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng, các tổ chức thực hiện phân loại theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ. Đối với các hệ thống thông tin khác, thực hiện phân loại theo quy định tại khoản 2, 3, 4, 5, 6, 7 Điều này.

2. Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức và chỉ xử lý thông tin công cộng.

3. Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí sau:

a) Hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức, có xử lý thông tin riêng, thông tin cá nhân của người sử dụng, thông tin hạn chế tiếp cận theo quy định của tổ chức nhưng không xử lý thông tin bí mật nhà nước;

b) Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7;

c) Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một số bộ phận thuộc tổ chức hoặc của tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở.

...

Như vậy, hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng là hệ thống thông tin có một trong các tiêu chí sau:

- Hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức, có xử lý thông tin riêng, thông tin cá nhân của người sử dụng, thông tin hạn chế tiếp cận theo quy định của tổ chức nhưng không xử lý thông tin bí mật nhà nước;

- Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7;

- Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một số bộ phận thuộc tổ chức hoặc của tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở.

Dữ liệu nhật ký của các hệ thống thông tin cấp độ 2 phải được lưu trực tuyến tối thiểu mấy tháng?

Dữ liệu nhật ký của các hệ thống thông tin cấp độ 2 phải được lưu trực tuyến tối thiểu 1 tháng và sao lưu tối thiểu 6 tháng theo quy định tại khoản 2 Điều 26 Thông tư 09/2020/TT-NHNN như sau:

Giám sát và ghi nhật ký hoạt động của hệ thống thông tin

Tổ chức thực hiện giám sát và ghi nhật ký hoạt động của hệ thống thông tin từ cấp độ 2 trở lên như sau:

1. Ghi và lưu trữ nhật ký về hoạt động của hệ thống thông tin và người sử dụng, các lỗi phát sinh, các sự cố an toàn thông tin nếu hệ thống hỗ trợ, tối thiểu bao gồm:

a) Thông tin kết nối mạng (firewall log);

b) Thông tin đăng nhập;

c) Thông tin thay đổi cấu hình;

d) Thông tin truy cập dữ liệu và dịch vụ quan trọng (nếu có);

đ) Thông tin các lỗi phát sinh trong quá trình hoạt động;

e) Thông tin cảnh báo từ các thiết bị;

g) Thông tin hiệu năng hoạt động của thiết bị (đối với hệ thống thông tin từ cấp độ 3 trở lên).

2. Dữ liệu nhật ký của các hệ thống thông tin cấp độ 2 phải được lưu trực tuyến tối thiểu 1 tháng và sao lưu tối thiểu 6 tháng. Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên phải được lưu trực tuyến tối thiểu 3 tháng theo hình thức tập trung và sao lưu tối thiểu một năm.

3. Có phương án giám sát, cảnh báo khi có thay đổi thông tin bí mật lưu trên hệ thống lưu trữ/phương tiện lưu trữ của các hệ thống thông tin từ cấp độ 4 trở lên.

4. Bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo, thay đổi và truy cập trái phép; bảo đảm người quản trị hệ thống và người sử dụng không thể xóa hay sửa đổi nhật ký hệ thống ghi lại các hoạt động của chính họ.

5. Thực hiện việc đồng bộ thời gian giữa các hệ thống thông tin.

Hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng là hệ thống thông tin có một trong các tiêu chí nào? (Hình từ internet)

Yêu cầu về an toàn, bảo mật hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng như thế nào?

Yêu cầu về an toàn, bảo mật hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng được quy định theo Điều 37 Thông tư 09/2020/TT-NHNN như sau:

Yêu cầu về an toàn, bảo mật các hệ thống thông tin

Khi xây dựng mới hoặc nâng cấp hệ thống thông tin do tổ chức quản lý trực tiếp, tổ chức phải thực hiện phân loại hệ thống thông tin theo cấp độ quy định tại Điều 5 Thông tư này. Đối với hệ thống thông tin từ cấp độ 2 trở lên, tổ chức thực hiện:

1. Xây dựng tài liệu thiết kế, mô tả về các phương án bảo đảm an toàn hệ thống thông tin. Trong đó các yêu cầu về an toàn, bảo mật được xây dựng đồng thời với việc xây dựng các yêu cầu kỹ thuật, nghiệp vụ.

2. Xây dựng phương án kiểm tra, xác minh hệ thống được triển khai tuân thủ theo đúng tài liệu thiết kế và yêu cầu bảo đảm an toàn thông tin trước khi nghiệm thu. Kết quả kiểm tra phải lập thành báo cáo và được cấp có thẩm quyền phê duyệt trước khi đưa vào vận hành chính thức.

3. Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài theo quy định tại Điều 36 Thông tư này.