Máy tính của các nhân sự quản lý hệ thống internet Banking có được phép truy cập internet hay không?

Cho tôi hỏi đối với những người lao động đảm nhận vị trí quản lý vận hành hệ thống internet Banking thì có phải cho họ tham gia các buổi đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm hay không? Các máy tính của nhân sự quản lý vận hành hệ thống internet Banking có được phép truy cập internet không?

Nhân sự đảm nhận vị trí quản lý vận hành hệ thống internet Banking có phải tham gia các khóa đào tạo kiến thức hàng năm hay không?

Căn cứ Điều 11 Thông tư 35/2016/TT-NHNN quy định về quản lý nhân sự quản trị, vận hành hệ thống Internet Banking như sau:

"Điều 11. Quản lý nhân sự quản trị, vận hành hệ thống Internet Banking
1. Đơn vị phải phân công nhân sự giám sát, theo dõi hoạt động của hệ thống, phát hiện và xử lý các sự cố kỹ thuật, các cuộc tấn công mạng.
2. Đơn vị phải phân công nhân sự tiếp nhận thông tin, hỗ trợ khách hàng, kịp thời liên lạc với khách hàng khi phát hiện các giao dịch bất thường.
3. Nhân sự quản trị, giám sát và vận hành hệ thống Internet Banking phải tham gia các khóa đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm.
4. Việc cấp phát, phân quyền tài khoản quản trị hệ thống Internet Banking phải được theo dõi, giám sát bởi bộ phận độc lập với bộ phận cấp phát tài khoản."

Từ quy định vừa nêu trên thì đối với các nhân sự quản trị, giám sát và vận hành hệ thống Internet Banking phải tham gia các khóa đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm.

Máy tính của các nhân sự quản lý hệ thống internet Banking có được phép truy cập internet hay không?

Máy tính của các nhân sự quản lý hệ thống internet Banking có được phép truy cập internet hay không?

Máy tính của các nhân sự quản lý hệ thống internet Banking có được phép truy cập internet hay không?

Căn cứ Điều 12 Thông tư 35/2016/TT-NHNN (sửa đổi bởi khoản 9 Điều 1 Thông tư 35/2018/TT-NHNN) quy định về quản lý hoạt động của môi trường vận hành hệ thống Internet Banking như sau:

"Điều 12. Quản lý hoạt động của môi trường vận hành hệ thống Internet Banking
1. Đơn vị không cài đặt, lưu trữ phần mềm phát triển ứng dụng, mã nguồn trên môi trường vận hành.
2. Các máy tính của nhân sự quản trị, giám sát và vận hành phải được đặt trong phân vùng mạng quản trị, được cài đặt phần mềm phòng chống vi rút và phải thiết lập chính sách tự động khóa màn hình sau một khoảng thời gian không sử dụng do đơn vị quy định, nhưng không quá 05 phút.
3. Đơn vị phải thiết lập chính sách hạn chế truy cập Internet đối với các máy tính thực hiện quản trị, giám sát hệ thống Internet Banking. Trường hợp cần phải kết nối Internet để phục vụ công việc, đơn vị phải:
a) Đánh giá rủi ro cho việc kết nối Internet;
b) Áp dụng các biện pháp kiểm soát cho việc kết nối;
c) Phương án thực hiện phải được người có thẩm quyền tại đơn vị phê duyệt.”

Như vậy, máy tính của các nhân sự quản lý hệ thống internet Banking không bị cấm truy cập internet nhưng việc truy cập sẽ phải hạn chế.

Trường hợp cần phải kết nối Internet để phục vụ công việc, đơn vị phải:

- Đánh giá rủi ro cho việc kết nối Internet;

- Áp dụng các biện pháp kiểm soát cho việc kết nối;

- Phương án thực hiện phải được người có thẩm quyền tại đơn vị phê duyệt.

Ngoài ra, các máy tính của nhân sự quản trị, giám sát và vận hành phải được đặt trong phân vùng mạng quản trị, được cài đặt phần mềm phòng chống vi rút và phải thiết lập chính sách tự động khóa màn hình sau một khoảng thời gian không sử dụng do đơn vị quy định, nhưng không quá 05 phút.

Điều này cũng được thể hiện tại Điều 12 Văn bản hợp nhất 21/VBHN-NHNN năm 2018, bạn có thể xem để tham khảo thêm.

Việc quản lý các lỗ hỏng trên hệ thống internet Banking được thực hiện dựa trên các nội dung nào?

Căn cứ Điều 13 Thông tư 35/2021/TT-NHNN (bổ sung bởi khoản 10 Điều 1 Thông tư 35/2018/TT-NHNN) quy định về quản lý lỗ hổng, điểm yếu về mặt kỹ thuật như sau:

"Điều 13. Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật
Đơn vị phải thực hiện quản lý các lỗ hổng, điểm yếu của hệ thống Internet Banking với các nội dung cơ bản sau:
1. Có biện pháp phòng, chống, dò tìm phát hiện các thay đổi của website, ứng dụng Internet Banking.
2. Thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Internet Banking.
3. Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố, tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời.
4. Rà soát, kiểm tra việc cập nhật các bản vá lỗi của phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng tối thiểu ba tháng một lần.
5. Đánh giá an ninh bảo mật đối với hệ thống Internet Banking tối thiểu mỗi năm một lần. Tổ chức thực hiện diễn tập tấn công thử nghiệm để kiểm tra, đánh giá mức độ đảm bảo an ninh của hệ thống.
6. Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến (Common Vulnerability Scoring System version 3 - CVSS v3). Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời đáp ứng các tiêu chí sau:
a) Trong vòng 1 tháng sau khi công bố với lỗ hổng bảo mật được đánh giá ở mức nghiêm trọng (tương đương với CVSS v3 điểm từ 9.0 trở lên);
b) Trong vòng 2 tháng sau khi công bố với lỗ hổng bảo mật được đánh giá ở mức cao (tương đương với CVSS v3 điểm từ 7.0 đến 8.9);
c) Khoảng thời gian do đơn vị tự quyết định với lỗ hổng bảo mật được đánh giá ở mức trung bình hoặc thấp (tương đương với CVSS v3 điểm nhỏ hơn 7.0).”

Theo đó, việc quản lý các lổ hỏng cũng như điểm yếu về kỹ thuật trên hệ thống internet Banking được thực hiện dựa trên các nội dung theo quy định vừa nêu trên.

Dịch vụ internet Banking
Căn cứ pháp lý
MỚI NHẤT
Pháp luật
NFC có trên điện thoại nào? Các dòng điện thoại Iphone, Samsung, Xiaomi, Oppo, Realme nào có hỗ trợ NFC?
Pháp luật
Hệ thống Internet Banking là gì? Để kiểm soát an ninh và bảo mật, kết nối từ bên ngoài vào hệ thống Internet Banking phải thông qua đâu?
Pháp luật
Xác thực hai yếu tố trong hệ thống Internet Banking là gì? Nhân sự vận hành hệ thống Internet Banking phải cập nhật kiến thức an ninh, bảo mật hằng năm?
Pháp luật
Mã OTP có hiệu lực trong bao lâu? Biện pháp xác thực bằng mã OTP khi sử dụng Internet Banking/Mobile Banking?
Pháp luật
Mã otp là gì? Khi sử dụng mã otp để giao dịch Ngân hàng cần lưu ý những gì để tránh rủi ro?
Pháp luật
Internet banking là gì? Việc kiểm tra thử nghiệm phần mềm ứng dụng Internet Banking phải đáp ứng yêu cầu tối thiểu nào?
Pháp luật
Hệ thống Internet Banking có phải là hệ thống thông tin quan trọng không? Trang bị các giải pháp an ninh bảo mật cho hệ thống này gồm những thiết bị nào?
Pháp luật
Nhân viên ngân hàng cần thông báo những thông tin về dịch vụ internet Banking nào cho khách hàng trước khi đăng ký dịch vụ cho khách?
Pháp luật
Tổ chức tín dụng cần phải cung cấp những thông tin nào về dịch vụ internet Banking cho khách hàng trước khi cho khách hàng đăng ký dịch vụ?
Pháp luật
Máy tính của các nhân sự quản lý hệ thống internet Banking có được phép truy cập internet hay không?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tìm kiếm nội dung Tư vấn pháp luật - Dịch vụ internet Banking
1,588 lượt xem

TÌM KIẾM LIÊN QUAN
Dịch vụ internet Banking

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về Dịch vụ internet Banking

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào