Từ khoá: Số Hiệu, Tiêu đề hoặc Nội dung ngắn gọn của Văn Bản...

Đăng nhập

Đang tải văn bản...

Thông tư 01/2011/TT-NHNN đảm bảo an toàn, bảo mật hệ thống công nghệ

Số hiệu: 01/2011/TT-NHNN Loại văn bản: Thông tư
Nơi ban hành: Ngân hàng Nhà nước Người ký: Nguyễn Toàn Thắng
Ngày ban hành: 21/02/2011 Ngày hiệu lực: Đã biết
Ngày công báo: Đã biết Số công báo: Đã biết
Tình trạng: Đã biết

NGÂN HÀNG NHÀ NƯỚC
VIỆT NAM
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 01/2011/TT-NHNN

Hà Nội, ngày 21 tháng 02 năm 2011

THÔNG TƯ

QUY ĐỊNH VIỆC ĐẢM BẢO AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG NGÂN HÀNG

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16/6/2010;
Căn cứ Luật các Tổ chức tín dụng số 47/2010/QH12 ngày 16/6/2010;
Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/6/2006;
Căn cứ Nghị định số 96/2008/NĐ-CP ngày 26/8/2008 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;
Ngân hàng Nhà nước Việt Nam quy định về việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng như sau:

Chương 1.

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Thông tư này quy định các yêu cầu đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin (CNTT) trong hoạt động ngân hàng.

2. Thông tư này áp dụng đối với Ngân hàng Nhà nước Việt Nam; các tổ chức tín dụng; chi nhánh ngân hàng nước ngoài (sau đây gọi chung là đơn vị).

Điều 2. Giải thích từ ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Hệ thống công nghệ thông tin: là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của ngân hàng.

2. Tài sản CNTT: là các trang thiết bị, thông tin thuộc hệ thống CNTT của đơn vị. Bao gồm:

a) Tài sản vật lý: là các thiết bị CNTT, phương tiện truyền thông và các thiết bị phục vụ cho hoạt động của hệ thống CNTT.

b) Tài sản thông tin: là các dữ liệu, tài liệu liên quan đến hệ thống CNTT. Tài sản thông tin được thể hiện bằng văn bản giấy hoặc dữ liệu điện tử.

c) Tài sản phần mềm: bao gồm các chương trình ứng dụng, phần mềm hệ thống, cơ sở dữ liệu và công cụ phát triển.

3. Rủi ro CNTT: là khả năng xảy ra tổn thất khi thực hiện các hoạt động liên quan đến hệ thống CNTT. Rủi ro CNTT liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành và con người.

4. Quản lý rủi ro: là các hoạt động phối hợp nhằm xác định và kiểm soát các rủi ro CNTT có thể xảy ra.

5. Bên thứ ba: là các tổ chức, cá nhân có chuyên môn được đơn vị thuê hoặc hợp tác với đơn vị nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống CNTT.

6. Hệ thống an ninh mạng: là tập hợp các thiết bị tường lửa; thiết bị kiểm soát, phát hiện truy cập bất hợp pháp; phần mềm quản trị, theo dõi, ghi nhật ký trạng thái an ninh mạng và các trang thiết bị khác có chức năng đảm bảo an toàn hoạt động của mạng, tất cả cùng hoạt động đồng bộ theo một chính sách an ninh mạng nhất quán nhằm kiểm soát chặt chẽ tất cả các hoạt động trên mạng.

7. Tường lửa: là tập hợp các thành phần hoặc một hệ thống các trang thiết bị, phần mềm được đặt giữa hai mạng, nhằm kiểm soát tất cả các kết nối từ bên trong ra bên ngoài mạng hoặc ngược lại.

8. Vi rút: là chương trình máy tính có khả năng lây lan, gây ra hoạt động không bình thường cho thiết bị số hoặc sao chép, sửa đổi, xóa bỏ thông tin lưu trữ trong thiết bị số.

9. Phần mềm độc hại (mã độc): là các phần mềm có tính năng gây hại như vi rút, phần mềm do thám (spyware), phần mềm quảng cáo (adware) hoặc các dạng tương tự khác.

10. Điểm yếu kỹ thuật: là vị trí trong hệ thống CNTT dễ bị tổn thương khi bị tấn công hoặc xâm nhập bất hợp pháp.

Điều 3. Nguyên tắc chung

1. Từng đơn vị phải đảm bảo an toàn, bảo mật hệ thống CNTT của đơn vị mình theo các quy định tại Thông tư này.

2. Kịp thời nhận biết, phân loại, đánh giá và xử lý có hiệu quả các rủi ro CNTT có thể xảy ra trong đơn vị.

3. Xây dựng, triển khai quy chế an toàn, bảo mật hệ thống CNTT trên cơ sở hài hòa giữa lợi ích, chi phí và mức độ chấp nhận rủi ro của đơn vị.

4. Bố trí đủ nguồn lực có chất lượng phù hợp với quy mô nhằm đảm bảo an toàn, bảo mật hệ thống CNTT.

5. Xác định rõ quyền hạn, trách nhiệm của thủ trưởng đơn vị, các cấp, các bộ phận và từng cá nhân trong đơn vị đối với công tác đảm bảo an toàn, bảo mật hệ thống CNTT.

Điều 4. Quy chế an toàn, bảo mật hệ thống CNTT

1. Các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống CNTT phù hợp với hệ thống CNTT, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của đơn vị. Quy chế an toàn, bảo mật hệ thống CNTT phải được thủ trưởng đơn vị phê duyệt, tổ chức thực hiện và được triển khai tới tất cả các cán bộ, nhân viên và các bên liên quan.

2. Quy chế an toàn, bảo mật hệ thống CNTT phải bao gồm các quy định cơ bản về:

a) Quản lý tài sản CNTT;

b) Quản lý nguồn nhân lực;

c) Quy định về vật lý và môi trường;

d) Quy định về truyền thông và vận hành;

đ) Quản lý truy cập;

e) Tiếp nhận, phát triển, duy trì hệ thống thông tin;

g) Quản lý sự cố;

h) Lưu trữ và dự phòng thảm họa.

3. Định kỳ, đơn vị phải rà soát, chỉnh sửa, hoàn thiện quy chế an toàn, bảo mật hệ thống CNTT tối thiểu mỗi năm một lần, đảm bảo sự phù hợp, đầy đủ và có hiệu quả của quy chế. Trong trường hợp phát hiện những bất cập, bất hợp lý gây ra mất an toàn hệ thống CNTT hoặc theo yêu cầu của cơ quan có thẩm quyền, đơn vị phải tiến hành chỉnh sửa, bổ sung ngay quy chế của mình.

Chương 2.

CÁC QUY ĐỊNH VỀ ĐẢM BẢO AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN

MỤC 1. TỔ CHỨC ĐẢM BẢO AN TOÀN, BẢO MẬT CNTT

Điều 5. Quản lý an toàn, bảo mật CNTT trong nội bộ đơn vị

1. Thủ trưởng đơn vị phải trực tiếp chỉ đạo công tác đảm bảo an toàn, bảo mật CNTT và quy định rõ trách nhiệm trong công tác đảm bảo an toàn, bảo mật CNTT cho các cá nhân, bộ phận.

2. Các cá nhân trong đơn vị liên quan đến bảo mật thông tin phải ký cam kết bảo mật thông tin.

Điều 6. Quản lý an toàn, bảo mật CNTT của đơn vị đối với bên thứ ba

1. Đánh giá về năng lực kỹ thuật, nhân sự, khả năng tài chính của bên thứ ba trước khi ký kết hợp đồng cung cấp hàng hóa, dịch vụ.

2. Xác định rõ trách nhiệm, quyền hạn và nghĩa vụ của các bên về an toàn, bảo mật CNTT khi ký hợp đồng. Hợp đồng với bên thứ ba phải bao gồm các điều khoản về việc xử phạt đối với bên thứ ba do vi phạm quy định an toàn, bảo mật thông tin và trách nhiệm phải bồi thường thiệt hại của bên thứ ba trong trường hợp có thiệt hại do hành vi vi phạm của bên thứ ba gây ra.

3. Đặc biệt chú ý đến các vấn đề về tính bí mật, tính toàn vẹn, tính sẵn sàng, tin cậy, hiệu năng tối đa, khả năng phục hồi thảm họa, phương tiện lưu trữ của hệ thống thông tin.

4. Xác định đầy đủ các rủi ro của đơn vị liên quan tới các bên thứ ba có thể phát sinh và áp dụng các biện pháp quản lý rủi ro.

5. Áp dụng các biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba khi cho phép họ truy cập vào hệ thống CNTT của đơn vị.

MỤC 2. QUẢN LÝ TÀI SẢN CNTT

Điều 7. Xác định trách nhiệm đối với tài sản CNTT

1. Thống kê, kiểm kê các loại tài sản CNTT tại đơn vị mỗi năm tối thiểu một lần. Nội dung thống kê tài sản phải bao gồm các thông tin: Loại tài sản, giá trị, mức độ quan trọng, vị trí lắp đặt, thông tin dự phòng, thông tin về bản quyền.

2. Phân loại, sắp xếp thứ tự ưu tiên theo giá trị, mức độ quan trọng của tài sản CNTT để có biện pháp bảo vệ tài sản phù hợp. Xây dựng và thực hiện các quy định về quản lý, sử dụng tài sản.

3. Gắn quyền sử dụng tài sản cho các cá nhân hoặc bộ phận cụ thể. Người sử dụng tài sản CNTT phải tuân thủ các quy định về quản lý, sử dụng tài sản, đảm bảo tài sản được sử dụng đúng mục đích.

Điều 8. Phân loại tài sản thông tin

1. Phân loại tài sản thông tin theo các tiêu chí về giá trị, độ nhạy cảm và tầm quan trọng, tần suất sử dụng, thời gian lưu trữ.

2. Thực hiện các biện pháp quản lý phù hợp với từng loại tài sản thông tin đã phân loại.

MỤC 3. QUẢN LÝ NGUỒN NHÂN LỰC

Điều 9. Quản lý nguồn nhân lực nội bộ của đơn vị

1. Trước khi tuyển dụng hoặc phân công nhiệm vụ

a) Xác định trách nhiệm về an toàn, bảo mật CNTT của vị trí cần tuyển dụng hoặc phân công.

b) Kiểm tra lý lịch, xem xét đánh giá nghiêm ngặt tư cách đạo đức, trình độ chuyên môn khi tuyển dụng, phân công cán bộ, nhân viên làm việc tại các vị trí trọng yếu của hệ thống CNTT như quản trị hệ thống, quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị cơ sở dữ liệu.

c) Quyết định hoặc hợp đồng tuyển dụng (nếu có) phải bao gồm các điều khoản về trách nhiệm đảm bảo an toàn, bảo mật CNTT của người được tuyển dụng trong và sau khi làm việc tại đơn vị.

2. Trong thời gian làm việc

a) Đơn vị có trách nhiệm phổ biến và cập nhật các quy định về an toàn, bảo mật CNTT cho cán bộ, nhân viên.

b) Yêu cầu và kiểm tra việc thi hành các quy định về an toàn, bảo mật CNTT của cá nhân, tổ chức thuộc đơn vị tối thiểu mỗi năm một lần.

c) Áp dụng các biện pháp kỷ luật đối với cán bộ, nhân viên của đơn vị vi phạm quy định an toàn, bảo mật CNTT.

d) Những công việc quan trọng như cấu hình hệ thống an ninh mạng, thay đổi tham số hệ điều hành, cài đặt thiết bị tường lửa, thiết bị phát hiện và ngăn chặn xâm nhập (IPS) phải được thực hiện bởi ít nhất hai người hoặc phải có người giám sát.

đ) Không được cấp quyền quản trị (người có thể chỉnh sửa cấu hình, dữ liệu, nhật ký) trên hệ thống CNTT chính và hệ thống dự phòng cho cùng một cá nhân.

3. Khi chấm dứt hoặc thay đổi công việc

Khi cán bộ, nhân viên chấm dứt hoặc thay đổi công việc, đơn vị phải:

a) Xác định rõ trách nhiệm của cán bộ, nhân viên và các bên liên quan về hệ thống CNTT.

b) Làm biên bản bàn giao tài sản với cán bộ, nhân viên.

c) Thu hồi hoặc thay đổi quyền truy cập hệ thống CNTT của cán bộ, nhân viên cho phù hợp với công việc được thay đổi.

Điều 10. Quản lý nguồn nhân lực bên thứ ba

1. Trước khi triển khai công việc

a) Yêu cầu bên thứ ba cung cấp danh sách nhân sự tham gia.

b) Kiểm tra tư cách pháp lý, năng lực chuyên môn của nhân sự bên thứ ba phù hợp với yêu cầu công việc.

c) Yêu cầu bên thứ ba ký cam kết không tiết lộ thông tin của đơn vị đối với các thông tin quan trọng.

2. Trong thời gian triển khai công việc

a) Cung cấp và yêu cầu bên thứ ba tuân thủ đầy đủ các quy chế, quy định về an toàn, bảo mật CNTT của đơn vị.

b) Giám sát việc tuân thủ các quy định an toàn, bảo mật CNTT của nhân sự bên thứ ba.

c) Trong trường hợp phát hiện dấu hiệu vi phạm hoặc vi phạm quy định an toàn, bảo mật thông tin của bên thứ ba, đơn vị cần:

- Tạm dừng hoặc đình chỉ hoạt động của bên thứ ba tùy theo mức độ vi phạm.

- Thông báo chính thức các vi phạm về an toàn, bảo mật CNTT của nhân sự cho bên thứ ba.

- Kiểm tra xác định, lập báo cáo mức độ vi phạm và thông báo cho bên thứ ba thiệt hại xảy ra.

- Thu hồi quyền truy cập hệ thống CNTT đã được cấp cho bên thứ ba.

3. Khi kết thúc công việc

a) Yêu cầu bên thứ ba bàn giao lại tài sản sử dụng của đơn vị trong quá trình triển khai công việc.

b) Thu hồi quyền truy cập hệ thống CNTT đã được cấp của bên thứ ba ngay sau khi kết thúc công việc.

c) Thay đổi các khóa, mật khẩu nhận bàn giao từ bên thứ ba.

MỤC 4. BẢO ĐẢM AN TOÀN VỀ MẶT VẬT LÝ VÀ MÔI TRƯỜNG

Điều 11. An toàn vật lý và môi trường

1. Các khu vực xử lý, lưu giữ thông tin và phương tiện xử lý thông tin phải được bảo vệ an toàn bằng tường bao, cổng ra vào có kiểm soát.

2. Các khu vực có yêu cầu cao về an toàn, bảo mật như phòng máy chủ phải áp dụng biện pháp kiểm soát ra vào thích hợp, đảm bảo chỉ những người có nhiệm vụ mới được vào khu vực đó.

3. Có biện pháp bảo vệ phòng chống nguy cơ do cháy nổ, ngập lụt, động đất và các thảm họa khác do thiên nhiên và con người gây ra. Phòng máy chủ phải đảm bảo vệ sinh công nghiệp: Không dột, không thấm nước; các trang thiết bị lắp đặt trên sàn kỹ thuật, không bị ánh nắng chiếu rọi trực tiếp; độ ẩm, nhiệt độ đạt tiêu chuẩn quy định cho các thiết bị và máy chủ; trang bị đầy đủ thiết bị phòng chống cháy, nổ, lũ lụt, hệ thống chống sét.

4. Có nội quy, hướng dẫn làm việc trong khu vực an toàn, bảo mật.

5. Khu vực sử dụng chung, phân phối, chuyển hàng phải được kiểm soát và cách ly với khu vực an toàn, bảo mật.

Điều 12. An toàn, bảo mật tài sản CNTT

1. Tài sản CNTT phải được bố trí, lắp đặt tại các địa điểm an toàn và được bảo vệ để giảm thiểu những rủi ro do các đe dọa, hiểm họa từ môi trường và các xâm nhập trái phép.

2. Tài sản CNTT phải được bảo đảm về nguồn điện và các hệ thống hỗ trợ khi nguồn điện chính bị gián đoạn. Phải có biện pháp chống quá tải hay sụt giảm điện áp, chống sét lan truyền; có hệ thống tiếp giáp; có hệ thống máy phát điện dự phòng và hệ thống lưu điện đảm bảo thiết bị hoạt động liên tục.

3. Dây cáp cung cấp nguồn điện và dây cáp truyền thông sử dụng trong truyền tải dữ liệu hay những dịch vụ hỗ trợ thông tin phải được bảo vệ khỏi sự xâm phạm hoặc hư hại.

4. Tất cả các thiết bị lưu trữ dữ liệu phải được kiểm tra để đảm bảo các dữ liệu quan trọng và phần mềm có bản quyền lưu trữ trên thiết bị được xóa bỏ hoặc ghi đè không có khả năng khôi phục trước khi loại bỏ hoặc tái sử dụng cho mục đích khác.

5. Tài sản CNTT chỉ được đưa ra bên ngoài đơn vị khi có sự cho phép của cấp có thẩm quyền.

6. Các trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên ngoài trụ sở của đơn vị phải có biện pháp giám sát, bảo vệ an toàn phòng chống truy cập bất hợp pháp.

MỤC 5. QUẢN LÝ VẬN HÀNH VÀ TRUYỀN THÔNG

Điều 13. Quy trình vận hành

1. Ban hành và triển khai quy trình vận hành các hệ thống CNTT đến người sử dụng bao gồm: Quy trình bật, tắt thiết bị; quy trình sao lưu, phục hồi dữ liệu; quy trình bảo dưỡng thiết bị; quy trình vận hành ứng dụng; quy trình xử lý sự cố.

2. Kiểm soát sự thay đổi của hệ thống CNTT gồm: Phiên bản phần mềm, cấu hình phần cứng, tài liệu, quy trình vận hành; có phương án dự phòng cho việc phục hồi nếu sự thay đổi không thành công hoặc gặp các sự cố không dự tính được; ghi chép lại các thay đổi; lập kế hoạch thực hiện và kiểm tra, thử nghiệm sự thay đổi trước khi áp dụng chính thức.

3. Hệ thống vận hành chính thức phải đáp ứng yêu cầu:

- Tách biệt với môi trường phát triển và môi trường kiểm tra, thử nghiệm.

- Chỉ cho phép kết nối Internet đối với hệ thống CNTT đã được áp dụng đầy đủ các giải pháp an ninh, an toàn và đủ khả năng bảo vệ trước các hiểm họa, tấn công từ bên ngoài.

- Không cài đặt các công cụ, phương tiện phát triển ứng dụng trên hệ thống vận hành chính thức.

4. Đối với hệ thống thông tin nghiệp vụ:

a) Không để một cá nhân làm toàn bộ các khâu từ khởi tạo đến phê duyệt một giao dịch nghiệp vụ.

b) Mọi tác vụ trên hệ thống được lưu vết, sẵn sàng cho kiểm tra, kiểm soát khi cần thiết.

Điều 14. Quản lý các dịch vụ do bên thứ ba cung cấp

1. Phải giám sát và kiểm tra các dịch vụ do bên thứ ba cung cấp đảm bảo mức độ cung cấp dịch vụ, khả năng hoạt động hệ thống đáp ứng đúng theo thỏa thuận đã ký kết.

2. Đảm bảo triển khai, duy trì các biện pháp an toàn, bảo mật của dịch vụ do bên thứ ba cung cấp theo đúng thỏa thuận.

3. Quản lý các thay đổi đối với các dịch vụ của bên thứ ba cung cấp bao gồm: Nâng cấp phiên bản mới; sử dụng các kỹ thuật mới, các công cụ và môi trường phát triển mới. Đánh giá đầy đủ tác động của việc thay đổi, đảm bảo an toàn khi được đưa vào sử dụng.

Điều 15. Quản lý việc lập kế hoạch và chấp nhận hệ thống CNTT

1. Giám sát và tối ưu hiệu suất của hệ thống CNTT; lập kế hoạch về hiệu suất, dung lượng của hệ thống CNTT trong tương lai nhằm đảm bảo tiêu chuẩn cần thiết.

2. Xây dựng các yêu cầu, tiêu chuẩn như hiệu năng, thời gian phục hồi khi gặp sự cố, đảm bảo tính liên tục; đào tạo và chuyển giao kỹ thuật đối với những nội dung thay đổi cho người sử dụng và thực hiện kiểm tra đánh giá khả năng đáp ứng của hệ thống CNTT mới hoặc hệ thống nâng cấp trước khi áp dụng chính thức.

Điều 16. Sao lưu dự phòng

1. Ban hành và thực hiện quy trình sao lưu dự phòng và phục hồi cho các phần mềm, dữ liệu cần thiết.

2. Lập danh sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo thời gian lưu trữ, thời gian sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.

3. Dữ liệu sao lưu phải được lưu trữ an toàn và được kiểm tra thường xuyên đảm bảo sẵn sàng cho việc sử dụng khi cần. Kiểm tra, phục hồi hệ thống từ dữ liệu sao lưu tối thiểu sáu tháng một lần.

Điều 17. Quản lý về an toàn, bảo mật mạng

1. Thực hiện việc quản lý và kiểm soát mạng nhằm ngăn ngừa các hiểm họa và duy trì an toàn cho các hệ thống, ứng dụng sử dụng mạng:

a) Có sơ đồ logic và vật lý về hệ thống mạng;

b) Sử dụng thiết bị tường lửa, thiết bị phát hiện và ngăn chặn xâm nhập và các trang thiết bị khác đảm bảo an toàn bảo mật mạng.

2. Thiết lập, cấu hình đầy đủ các tính năng của thiết bị an ninh mạng. Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng và các truy cập bất hợp pháp vào hệ thống mạng. Thường xuyên kiểm tra, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.

3. Xác định và ghi rõ các tính năng an toàn, các mức độ bảo mật của dịch vụ và yêu cầu quản lý trong các thỏa thuận về dịch vụ mạng do bên thứ ba cung cấp.

Điều 18. Trao đổi thông tin

1. Ban hành các quy định trao đổi thông tin và phần mềm qua mạng truyền thông trong đơn vị và với các đơn vị khác. Xác định trách nhiệm và nghĩa vụ pháp lý với các thành phần tham gia.

2. Có thỏa thuận cho việc trao đổi thông tin với bên ngoài.

3. Có biện pháp bảo vệ phương tiện mang tin khi vận chuyển.

4. Xây dựng và thực hiện các biện pháp bảo vệ thông tin trao đổi giữa các hệ thống CNTT.

Điều 19. Các dịch vụ thương mại điện tử

1. Có biện pháp bảo vệ thông tin trong thương mại điện tử nhằm chống lại các hoạt động gian lận, sửa đổi trái phép:

a) Đường truyền và giao thức truyền thông phải được mã hóa;

b) Sử dụng các phương thức xác thực mạnh như xác thực đa thành phần hoặc chữ ký số cho các thành viên tham gia giao dịch.

2. Thông tin trong các giao dịch trực tuyến phải được truyền đầy đủ, đúng địa chỉ, tránh bị sửa đổi, tiết lộ hoặc nhân bản một cách trái phép.

3. Thông tin công khai trên các hệ thống CNTT phải được bảo vệ nhằm ngăn chặn sự sửa đổi trái phép.

Điều 20. Giám sát và ghi nhật ký hoạt động của hệ thống CNTT

1. Ghi nhật ký và quy định thời gian lưu trữ các thông tin về hoạt động của hệ thống CNTT và người sử dụng, lỗi phát sinh và các sự cố mất an toàn thông tin nhằm trợ giúp cho việc điều tra giám sát về sau.

2. Xem xét và lập báo cáo định kỳ về nhật ký và có các hoạt động xử lý các lỗi, sự cố cần thiết.

3. Bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo và truy cập trái phép. Người quản trị hệ thống và người sử dụng không được xóa hay sửa đổi nhật ký hệ thống ghi lại các hoạt động của chính họ.

4. Có cơ chế đồng bộ thời gian giữa các hệ thống CNTT.

Điều 21. Phòng chống vi rút và phần mềm độc hại

Xây dựng và thực hiện quy định về phòng chống vi rút, mã độc đáp ứng các yêu cầu cơ bản sau:

1. Triển khai hệ thống phòng chống vi rút máy tính cho toàn bộ hệ thống CNTT của đơn vị.

2. Kiểm tra, diệt vi rút, mã độc cho toàn bộ hệ thống CNTT của đơn vị hàng ngày và phương tiện mang tin nhận từ bên ngoài trước khi sử dụng.

3. Không mở các thư điện tử lạ, các tệp tin đính kèm hoặc các liên kết trong các thư lạ để tránh vi rút, mã độc.

4. Không vào các trang web không có nguồn gốc xuất xứ rõ ràng, đáng ngờ.

5. Cập nhật kịp thời các mẫu vi rút, mã độc mới và các phần mềm chống vi rút, mã độc mới.

6. Báo ngay cho người quản trị hệ thống xử lý trong trường hợp phát hiện nhưng không diệt được vi rút, mã độc.

7. Không tự ý cài đặt các phần mềm khi chưa được phép của người quản trị hệ thống.

MỤC 6. CÁC BIỆN PHÁP QUẢN LÝ TRUY CẬP

Điều 22. Yêu cầu nghiệp vụ đối với kiểm soát truy cập

1. Xây dựng và thực hiện các quy định về quản lý truy cập đối với người sử dụng, nhóm người sử dụng, đảm bảo đáp ứng yêu cầu nghiệp vụ và yêu cầu an toàn, bảo mật. Quy định về quản lý truy cập bao gồm các nội dung cơ bản sau:

a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập của người sử dụng;

b) Giới hạn và kiểm soát các truy cập đặc quyền;

c) Quản lý, cấp phát mật khẩu;

d) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng.

2. Quy định về quản lý mật khẩu phải đáp ứng các yêu cầu sau:

a) Mật khẩu phải có độ dài sáu ký tự trở lên, cấu tạo gồm các ký tự số, chữ và các ký tự đặc biệt khác nếu hệ thống cho phép. Các yêu cầu mật khẩu hợp lệ phải được kiểm tra tự động khi thiết lập mật khẩu;

b) Các mật khẩu mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm, cơ sở dữ liệu phải được thay đổi ngay khi đưa vào sử dụng;

c) Phần mềm quản lý mật khẩu phải có các chức năng: Thông báo người sử dụng thay đổi mật khẩu sắp hết hạn sử dụng; hủy hiệu lực của mật khẩu hết hạn sử dụng; cho phép thay đổi ngay mật khẩu bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng; ngăn chặn việc sử dụng lại mật khẩu cũ trong một khoảng thời gian nhất định.

3. Quy định trách nhiệm người sử dụng khi được cấp quyền truy cập: Sử dụng mật khẩu đúng quy định, giữ bí mật mật khẩu, thoát khỏi hệ thống khi không làm việc trên hệ thống hoặc tạm thời không làm việc trên hệ thống.

Điều 23. Quản lý truy cập mạng

1. Ban hành các quy định sử dụng mạng và các dịch vụ mạng; các thủ tục cấp phép, xóa bỏ quyền kết nối đến mạng và dịch vụ mạng; những cách thức, phương tiện truy cập mạng, dịch vụ mạng. Trong đó quy định rõ:

a) Các mạng và dịch vụ mạng được phép sử dụng;

b) Các điều kiện để được kết nối mạng.

2. Sử dụng các biện pháp thích hợp để xác thực người sử dụng kết nối từ bên ngoài vào mạng nội bộ của đơn vị đảm bảo an toàn, bảo mật.

3. Kiểm soát truy cập các cổng dùng để cấu hình và quản trị thiết bị mạng.

4. Chia tách hệ thống mạng thành các vùng mạng khác nhau theo đối tượng sử dụng, mục đích sử dụng và hệ thống thông tin.

Điều 24. Kiểm soát truy cập hệ điều hành

1. Có quy trình để kiểm soát truy cập hệ điều hành; quy định quản lý mật khẩu truy cập hệ điều hành an toàn, bảo mật.

2. Mỗi người sử dụng hệ điều hành phải có một định danh duy nhất và được xác thực, nhận dạng, lưu dấu vết khi truy cập hệ điều hành.

3. Sử dụng thêm các phương pháp xác thực khác như sinh trắc học hoặc thẻ đối với các máy chủ quan trọng ngoài việc xác thực bằng mật khẩu.

4. Quy định giới hạn và kiểm soát chặt chẽ những tiện ích hệ thống có khả năng ảnh hưởng đến hệ thống và chương trình ứng dụng khác.

5. Tự động ngắt phiên làm việc sau một thời gian không sử dụng, nhằm ngăn chặn sự truy cập trái phép.

6. Quy định giới hạn thời gian kết nối với những ứng dụng có độ rủi ro cao.

Điều 25. Kiểm soát truy cập thông tin và ứng dụng

1. Quản lý và phân quyền truy cập thông tin và ứng dụng phù hợp với chức năng nhiệm vụ của người sử dụng:

a) Phân quyền truy cập đến từng thư mục, chức năng của chương trình;

b) Phân quyền đọc, ghi, xóa, thực thi đối với thông tin, dữ liệu, chương trình.

2. Các hệ thống thông tin quan trọng phải đặt trong môi trường mạng máy tính riêng. Nếu các hệ thống thông tin cùng sử dụng nguồn tài nguyên chung thì phải được người quản trị hệ thống chấp nhận.

MỤC 7. TIẾP NHẬN, PHÁT TRIỂN, DUY TRÌ HỆ THỐNG THÔNG TIN

Điều 26. Yêu cầu về an toàn, bảo mật cho các hệ thống thông tin

Khi xây dựng hệ thống thông tin mới hoặc cải tiến hệ thống thông tin hiện tại, phải đưa ra các yêu cầu về an toàn, bảo mật đồng thời với việc đưa ra các yêu cầu kỹ thuật, nghiệp vụ.

Điều 27. Đảm bảo an toàn, bảo mật các ứng dụng

Các chương trình ứng dụng nghiệp vụ phải đạt được các yêu cầu sau:

1. Kiểm tra tính hợp lệ của dữ liệu nhập vào các ứng dụng, đảm bảo dữ liệu được nhập vào chính xác và hợp lệ.

2. Kiểm tra tính hợp lệ của dữ liệu cần được xử lý tự động trong các ứng dụng nhằm phát hiện thông tin sai lệch do các lỗi trong quá trình xử lý hoặc các hành vi sửa đổi thông tin có chủ ý.

3. Có các biện pháp đảm bảo tính xác thực và bảo vệ sự toàn vẹn của dữ liệu được xử lý trong các ứng dụng.

4. Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng dụng, đảm bảo quá trình xử lý thông tin của các ứng dụng là chính xác và hợp lệ.

Điều 28. Quản lý mã hóa

1. Quy định và đưa vào sử dụng các biện pháp mã hóa và quản lý khóa theo các chuẩn quốc gia hoặc quốc tế đã được công nhận để bảo vệ thông tin của đơn vị. Sử dụng các giải thuật mã hóa như:

a) AES: Advanced Encryption Standard;

b) 3DES: Triple Data Encryption Standard;

c) RSA: Rivest-Shamir-Adleman;

d) Giải thuật khác.

2. Dữ liệu về mật khẩu khách hàng, mật khẩu người sử dụng và các dữ liệu nhạy cảm khác phải được mã hóa khi truyền lên mạng và khi lưu trữ.

Điều 29. An toàn, bảo mật các tệp tin hệ thống

1. Quy định về quản lý, cài đặt, cập nhật các phần mềm lên hệ thống hiện tại, đảm bảo an toàn cho các tệp tin hệ thống.

2. Dữ liệu kiểm tra, thử nghiệm phải được lựa chọn, bảo vệ, quản lý và kiểm soát một cách thận trọng.

3. Việc truy cập vào chương trình nguồn phải được quản lý và kiểm soát chặt chẽ.

Điều 30. An toàn, bảo mật trong quy trình hỗ trợ và phát triển

1. Phải có quy định về quản lý và kiểm soát sự thay đổi hệ thống thông tin.

2. Khi thay đổi hệ điều hành phải kiểm tra và xem xét các ứng dụng nghiệp vụ quan trọng để đảm bảo hệ thống hoạt động ổn định, an toàn trên môi trường mới.

3. Việc sửa đổi các gói phần mềm phải được quản lý và kiểm soát chặt chẽ.

4. Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài.

Điều 31. Quản lý các điểm yếu về mặt kỹ thuật

1. Có quy định về việc đánh giá, quản lý và kiểm soát các điểm yếu kỹ thuật của các hệ thống CNTT đang sử dụng. Định kỳ đánh giá, lập báo cáo về các điểm yếu kỹ thuật của các hệ thống CNTT đang sử dụng.

2. Xây dựng và triển khai các giải pháp khắc phục các điểm yếu kỹ thuật, hạn chế các rủi ro liên quan.

MỤC 8. QUẢN LÝ CÁC SỰ CỐ VỀ CNTT

Điều 32. Báo cáo sự cố

1. Xây dựng quy trình báo cáo, các mẫu báo cáo và xác định rõ người nhận báo cáo về các sự cố CNTT.

2. Quy định rõ trách nhiệm báo cáo của cán bộ, nhân viên và bên thứ ba về các sự cố CNTT.

3. Các sự cố mất an toàn phải được lập tức báo cáo đến những người có thẩm quyền và những người có liên quan để có biện pháp khắc phục trong thời gian sớm nhất.

Điều 33. Kiểm soát và khắc phục sự cố

1. Ban hành quy trình, trách nhiệm khắc phục và phòng ngừa sự cố CNTT, đảm bảo sự cố được xử lý trong thời gian ngắn nhất và giảm thiểu khả năng sự cố lặp lại.

2. Quá trình xử lý sự cố phải được ghi chép và lưu trữ tại đơn vị.

3. Thu thập, ghi chép, bảo toàn bằng chứng, chứng cứ phục vụ cho việc kiểm tra, xử lý, khắc phục và phòng ngừa sự cố. Trong trường hợp sự cố về CNTT có liên quan đến các vi phạm pháp luật, đơn vị có trách nhiệm thu thập và cung cấp chứng cứ cho cơ quan có thẩm quyền đúng theo quy định của pháp luật.

MỤC 9. ĐẢM BẢO HOẠT ĐỘNG LIÊN TỤC CỦA CÁC HỆ THỐNG CNTT

Điều 34. Đảm bảo hoạt động liên tục

1. Căn cứ quy mô và mức độ quan trọng của từng hệ thống CNTT đối với hoạt động của đơn vị để lựa chọn ra các hệ thống CNTT trọng yếu, có ảnh hưởng lớn tới hoạt động của đơn vị.

2. Xây dựng và triển khai kế hoạch, quy trình đảm bảo hoạt động liên tục của các hệ thống CNTT trọng yếu.

3. Tối thiểu sáu tháng một lần, tiến hành kiểm tra, thử nghiệm, đánh giá và cập nhật các quy trình đảm bảo hoạt động liên tục của các hệ thống CNTT trọng yếu.

4. Kế hoạch, quy trình đảm bảo hoạt động liên tục phải được kiểm tra, đánh giá và cập nhật khi có sự thay đổi của hệ thống.

Điều 35. Công tác dự phòng thảm họa

1. Xây dựng hệ thống dự phòng cho các hệ thống CNTT trọng yếu của đơn vị. Các hệ thống dự phòng cách hệ thống chính tối thiểu 30 km tính theo đường thẳng nối giữa hai hệ thống.

2. Hệ thống dự phòng phải thay thế được hệ thống chính trong vòng 4 giờ kể từ khi hệ thống chính có sự cố không khắc phục được.

3. Tối thiểu ba tháng một lần, phải chuyển hoạt động từ hệ thống chính sang hệ thống dự phòng để đảm bảo tính đồng nhất và sẵn sàng của hệ thống dự phòng.

4. Tối thiểu ba tháng một lần, tiến hành kiểm tra, đánh giá hoạt động của hệ thống dự phòng.

MỤC 10. KIỂM TRA NỘI BỘ VÀ BÁO CÁO

Điều 36. Kiểm tra nội bộ

1. Các đơn vị phải tự tổ chức kiểm tra việc tuân thủ các quy định tại Thông tư này tối thiểu mỗi năm một lần.

2. Kết quả kiểm tra và các kiến nghị đề xuất phải được lập thành báo cáo.

Điều 37. Báo cáo

Các đơn vị có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) như sau:

1. Quy chế an toàn, bảo mật CNTT của đơn vị:

a) Đối với các đơn vị đã ban hành quy chế an toàn, bảo mật CNTT trước ngày Thông tư này có hiệu lực: Các đơn vị gửi quy chế an toàn, bảo mật CNTT trong thời hạn 15 ngày kể từ ngày Thông tư này có hiệu lực.

b) Đối với các đơn vị chưa ban hành quy chế an toàn, bảo mật CNTT kể từ ngày Thông tư này có hiệu lực: Các đơn vị phải ban hành và gửi quy chế an toàn, bảo mật CNTT trong thời hạn 6 tháng kể từ ngày Thông tư này có hiệu lực.

2. Báo cáo năm:

a) Các chỉnh sửa, bổ sung quy chế an toàn, bảo mật CNTT nếu có; Báo cáo kiểm tra nội bộ của đơn vị theo quy định tại Điều 36 của Thông tư này.

b) Thời hạn gửi báo cáo: Trước ngày 15 tháng 3 hàng năm.

c) Hình thức và mẫu báo cáo: Theo hướng dẫn của Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học).

3. Báo cáo đột xuất:

Khi xảy ra các vụ, việc mất an toàn đối với hệ thống CNTT, đơn vị gửi báo cáo đột xuất bằng văn bản, cụ thể như sau:

a) Thời hạn gửi báo cáo: Trong thời hạn 10 ngày kể từ thời điểm vụ, việc được phát hiện.

b) Nội dung báo cáo đột xuất:

- Ngày, địa điểm phát sinh vụ, việc;

- Nguyên nhân vụ, việc;

- Đánh giá rủi ro, ảnh hưởng đối với hệ thống CNTT và nghiệp vụ tại nơi xảy ra vụ, việc và những địa điểm khác có liên quan;

- Các biện pháp đơn vị đã tiến hành để ngăn chặn, khắc phục và phòng ngừa rủi ro;

- Kiến nghị, đề xuất.

Chương 3.

ĐIỀU KHOẢN THI HÀNH

Điều 38. Xử lý vi phạm

Các tổ chức, cá nhân vi phạm quy định tại Thông tư này, tùy theo mức độ vi phạm sẽ bị xử lý theo các quy định của pháp luật.

Điều 39. Hiệu lực thi hành

1. Thông tư này có hiệu lực thi hành sau bốn mươi lăm ngày kể từ ngày ký ban hành và thay thế các văn bản sau:

- Quyết định số 04/2006/QĐ-NHNN ngày 18/01/2006 của Thống đốc Ngân hàng Nhà nước ban hành Quy chế an toàn, bảo mật hệ thống công nghệ thông tin trong ngành Ngân hàng;

- Quyết định số 14/2000/QĐ-NHNN16 ngày 07/01/2000 của Thống đốc Ngân hàng Nhà nước về việc ban hành Quy chế quản lý, sử dụng hệ thống tin học trong ngành Ngân hàng;

- Quyết định số 864/2003/QĐ-NHNN ngày 05/8/2003 của Thống đốc Ngân hàng Nhà nước về việc sửa đổi, bổ sung một số điều của Quy chế quản lý, sử dụng hệ thống tin học trong ngành Ngân hàng ban hành kèm theo Quyết định số 14/2000/QĐ-NHNN16 ngày 07/01/2000.

2. Trong quá trình thực hiện nếu có vấn đề phát sinh, vướng mắc, các đơn vị liên quan phản ánh kịp thời về Ngân hàng Nhà nước Việt Nam để xem xét, bổ sung, sửa đổi.

Điều 40. Trách nhiệm thi hành

1. Cục Công nghệ tin học có trách nhiệm theo dõi, kiểm tra việc thi hành Thông tư này của các đơn vị.

2. Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm phối hợp với Cục Công nghệ tin học kiểm tra việc thi hành Thông tư này đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài và xử lý vi phạm hành chính đối với hành vi vi phạm theo quy định của pháp luật.

3. Vụ Kiểm toán nội bộ có trách nhiệm thực hiện kiểm toán nội bộ việc thi hành Thông tư này đối với các đơn vị thuộc Ngân hàng Nhà nước Việt Nam.

4. Thủ trưởng các đơn vị liên quan thuộc Ngân hàng Nhà nước Việt Nam; Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc trung ương; Chủ tịch Hội đồng quản trị, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài có trách nhiệm tổ chức triển khai và kiểm tra việc thi hành tại đơn vị mình theo đúng các quy định của Thông tư này.

Nơi nhận:
- Như Khoản 4 Điều 40;
- Ban lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Công báo;
- Lưu: VP, CNTH, PC.

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC




Nguyễn Toàn Thắng

THE STATE BANK OF VIETNAM
-------

SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------

No: 01/2011/TT-NHNN

Hanoi, February 21, 2011

 

CIRCULAR

PROVIDING FOR ENSURING SAFETY, KEEPING SECRETS THE INFORMATION TECHNOLOGY SYSTEM IN BANKING OPERATION

Pursuant to the Law on State Bank of Vietnam No.46/2010/QH12 dated 16/6/2010;
Pursuant to the Law on credit institutions No.47/2010/QH12 dated 16/6/2010;
Pursuant to the Law on Information Technology No.67/2006/QH11 dated 29/6/2006;
Pursuant to the Decree No.96/2008/ND-CP dated 26/8/2008 of the Government regulating functions, tasks, powers and organizational structure of the State Bank of Vietnam;
the State Bank of Vietnam provides for ensuring safety, keeping secrets the information technology system in banking operation as follows:

Chapter 1.

GENERAL PROVISIONS

Article 1. Scope of governing and subjects of application

1. This Circular provides for requirements of ensuring safety, keeping secrets the information technology system (IT) in banking operation.

2. This Circular applies to the State Bank of Vietnam; credit institutions; branches of foreign banks (hereinafter collectively called as units).

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

In this Circular, the below terms are construed as follows:

1.  Information technology system: means a structured set of hardware equipment, software, databases and network systems for one or more technical operations, operations of the banks.

2.  IT assets: means equipments, information under IT system of the units, including:

a) Physical assets: mean IT equipment, mass media and equipment for the operation of IT systems.

b) Information assets: mean data and documents relating to IT systems. Information assets are represented by paper documents or electronic data.

c) Software assets: include the applicable programs, system software, databases and development tools.

3. IT risk: means ability of happening loss when making activities related to IT systems. IT risk related to management, use of hardware, software, communications, interface systems, operating and people.

4. Risk management: means the coordinating activities aiming at determining and controlling IT risk which may happen.

5. Third parties: mean organizations and individuals having professional skill hired by or coordinate with units to provide goods, technical services for the IT system.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

7. Firewall: means a collection of components or a system of equipment and software placed between two networks to control all connections from inside to outside of the network or vice versa.

8. Virus: means a computer program enabling to spread, causing abnormal operation to the digital device or copy, modify and delete the stored information in digital equipment.

9. Malicious-logic software (mal-ware): means software that its features cause harmful such as viruses, spy-ware (spy-ware), advertising software (ad-ware) or other similar forms.

10. Technology weak points: mean its position in the IT system vulnerable when being attacked or illegally invaded.

Article 3. General principles

1. Each unit must ensure safety; keep secrets IT system of its unit according to provisions in this Circular.

2. Promptly identify, classify, evaluate and effectively handle IT risk which may occur in the unit.

3. To build, deploy safety regulations, keep secrets IT system on the basis of harmony between benefits, costs and risk acceptable level of the unit.

4. To allocate adequate qualified resources appropriate to the scale aiming at ensuring safety, keeping secrets IT systems.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Article 4. Regulations on safety, keeping secrets information technology system

1. The units must build safety regulations; keep secrets IT system suitable to the units’ IT system, organizational structure, managerial requirement and operation. The regulations of safety, keeping secrets IT system must be approved and organized to implement by heads of units and be deployed to all managers, staffs and relative parties.

2. The regulations on safety, keeping secrets IT system must include the basic provisions on:

a) Management of IT assets;

b) Management of human resource;

c) Physique and environment;

d) Communications and operation;

đ) Accessing management;

e) Receipt, development, maintaining information system;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

h) Storage and disaster prevention.

3. Periodically, the units must review, edit, improve safety regulations and keep secrets IT system at least once a year, ensuring the suitableness, adequacy and efficiency of the regulations. In case of detecting the inadequacies and irrationalities causing unsafe to the IT systems or at the request of the competent agencies, units must conduct to amend, supplement immediately its regulations.

Chapter 2.

PROVISIONS ON ENSURING SAFETY, KEEPING SECRETS THE INFORMATION TECHNOLOGY SYSTEM

ITEM 1. ORGANIZATION ENSURING SAFETY, KEEPING SECRETS THE INFORMATION TECHNOLOGY

Article 5. Safety management, keeping secrets information technology inside of units

1. Heads of units must directly guide the acts of ensuring safety, keeping secrets IT and stipulate clearly responsibilities in the acts of ensuring safety, keeping secrets IT to individuals, divisions.

2. Individuals in the units relating to keeping secrets information must sign commitments to keep secrets information.

Article 6. Safety management, keeping secrets information technology of the unit to third party

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

2. Clearly define responsibilities, powers and obligations of the parties on security, IT security when signing the contract. Contracts with third parties must include the clauses of the sanctions against third parties due to violate safety regulations, information security and the responsibility to pay damages of third parties in case of having damages caused by the violation of third parties.

3. Specially pay attention to issues of confidentiality, integrity, availability, reliability, maximum performance, ability to recover disaster, storage mean of information systems.

4. Fully determine the risks of units related to third parties which may arise and apply risk management measures.

5. To apply measures to closely monitor and restrict right to access of third parties when allowing them access to IT systems of units.

ITEM 2. MANAGEMENT OF INFORMATION TECHNOLOGY ASSETS

Article 7. Responsibility for information technology assets

1. To make statistics, inventory of IT assets in the unit at least once each year. Contents of the property statistics must include the following information: type of property, values, important levels, the installation location, backup information, copyright information.

2. To classify, arrange priority order at value, the importance of IT assets to take measures to protect the assets accordingly and build and implement regulations on management, use of assets.

3. To add the right to use property to individual or specific department. IT property user must comply with the regulations on management and use of the property, ensuring the property which is used for proper purposes.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

1. To classify IT property according to criteria of value, sensitivity and importance, frequency of use, storage time.

2. To implement the management measures suitable to each type of information asset classified.

ITEM 3. MANAGEMENT OF HUMAN RESOURCE

Article 9. Management of internal human resource of unit

1. Before the recruitment or duty assignment

a) To define responsibility for safety, IT security of the position need to be recruited or assigned.

b) To check background, review, valuate strictly ethics, professional qualifications when recruiting, assigning managers, staffs members to work in the key position of IT systems such as system administration, management of security systems, system operation, database management.

c) Decision or an employment contract (if any) must include the Articles, clauses of responsibility to ensure safety, IT security of persons who are employed during and after working in the unit.

2. Within working time

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

b) Requiring and examining the execution of regulations on safety and IT security of individuals, organizations to be of units at least once a year.

c) Applying discipline measures to managers, staffs of the unit who committed violations of safety and IT security.

d) The important works such as network security system configuration, operating system parameters change and firewall device installation, the device of detection and intrusion prevention (IPS) must be performed by at least two people or must have a supervisor.

đ) Not to grant administrative right (who can edit the configuration, data, logs) on the main IT system and backup system for the same individual.

3. When terminating or changing jobs

When managers, staffs terminate or change jobs, the unit must:

a) Clearly defining responsibility of managers, staffs and relative parties on IT system.

b) Making asset transfer minute to staffs, managers.

c) Withdrawing or changing right of accessing IT system of staffs, managers to suit the job changed.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

1. Before deploying works

a) Requiring third parties to supply list of personnel who join in.

b) Examining legal status, professional capability of personnel of third-parties suitable to job requirements.

c) Requiring third parties to sign commitment of not disclosing the unit’s information for the important information.

2. Within the time of deploying works

a) Providing and requiring third parties to comply in full with the regulations and provisions on safety and IT security of unit.

b) Monitoring the compliance with regulations on safety, IT security of third parties’ personnel.

c) In case of detecting signs of violation or committing violations of regulations on safety, information security of third parties, the unit needs:

- Suspending or terminating third parties’ operation depending on the seriousness of violation.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Checking to determine, making report on seriousness of the violation and notifying to third parties about the damages caused.

- Withdrawing IT system accessing right which was granted to third parties.

3. When finishing works

a) Requiring third-parties to transfer using assets of the unit during the job deployment.

b) Withdrawing IT system accessing right which was granted to third parties right after finishing the jobs.

c) Changing the locks, passwords receiving from third parties’ delivery.

ITEM 4. ENSURING SAFETY ON PHYSICAL AND ENVIRONMENTAL ASPECT

Article 11. Physical safety and environment

1. The areas of handling, storing information and information handling facilities must be protected safely by walls, controlled gateway.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

3. Having measures to protect, prevent, combat risks from fire, explosion, flood, earthquake and other disasters caused by natural and human being. The server room must be ensured industrial hygiene: not to be leaked, waterproof; equipment installed on the technical floor is not shone directly by the sun shining; the humidity, the temperature reaching the standards as prescribed for devices and servers; equipping in full devices to prevent fire, explosion, flood, lightning;.

4. Having internal rules, guidance to work in the safe, secure area.

5. Areas of common use, distribution and shipping must be controlled and isolated from in the safe, secure area.

Article 12. Safety, keeping secrets information technology assets

1. IT assets must be located and installed at the safe location and be protected to minimize the risks due to intimidation, danger from environment and illegal intrusion.

2. IT assets must be secured on the power and support system when the main power is interrupted. Must take measures to resist overload or voltage drop, surge lightning; with adjacent systems; a system backup generators and UPS systems to ensure equipment operating continuously.

3. Cable providing power and communications cables used in transmitting data or information support services must be protected from intrusion or damage.

4. All data storage devices must be checked to ensure that critical data and copyrighted software stored in the device to be deleted or overwritten unable to recover before removing or re-used for other purposes.

5. IT assets shall be sent out only when the unit has permission of the competent levels.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

ITEM 5. OPERATING MANAGEMENT AND COMMUNICATIONS

Article 13. Process of operation

1. Promulgating and deploying the process of operating IT systems to users including: The process of turning on, off device, the backup, data recovery, device maintenance, operating application; troubleshooting.

2. Controlling change of IT systems including software version, hardware configuration, documentation, operating procedures; having backup plans for recovery if the change is not successful or meeting unanticipated problems; recording changes; making plan of implementation and examination, test of the changes before the formal application.

3. The official operating system must meet the requirements:

- Separating from development environments and test, examination environments.

- Only allowing to connect Internet for the IT system has been adopted fully safety, security solution and able to protect against threats and attacks from outside.

- Not to install tools, means of developing application on the official operating system.

4. For the professional information system:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

b) Every action on the system is tracked, ready for inspection and control as needed.

Article 14. Management of services supplied by third parties

1. Must supervise and inspect the services provided by third parties to ensure service supplying levels, the system operating ability to meet in accordance with agreements signed.

2. Ensuring to implement, maintain security, safety measures of services provided by third parties in accordance with agreement.

3. Managing changes for services provided by third parties including: Upgrading the new version, using new techniques, tools and new development environment; valuating fully impact of the change to ensure safety when putting into use.

Article 15. Management of setting up plan and accepting information technology system

1. Monitoring and maximizing performance of IT systems, planning on performance and capacity of IT systems in the future to ensure the necessary standards.

2. Setting up requirements and standards such as performance, time to recover when meeting troubles, ensuring the continuity; training and technical transfer to the changing contents to users and implementing the examination, valuation the ability of new IT systems or upgraded systems before the official application.

Article 16. Storing for backup

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

2. Make a list of data, software need to be backed up with classification according to storage time, backup time, backup methods and system recovery inspection time from backup data.

3. Backup data must be stored securely and checked regularly to ensure readiness for use when needed. Inspecting and recovering system from backup data at least every six months.

Article 17. Management on safety, keeping secrets internet

1. Performing network management and control to prevent hazards and maintain safety to systems, applications using network:

a) Having logical outline and physique on network system;

b) Using a firewall device or equipment to detect and prevent intrusions and other equipment to ensure safety, network security.

2. Setting up, configuring fully all the features of network security devices. Use tools for detecting and timely finding out weak points, vulnerabilities and unauthorized access to the network. Regularly inspecting and detecting the connections, equipment and software installed illegally into the network.

3. Identifying and clearly writing safety features, the security level of service and management requirements in the agreements on network services provided by third party.

Article 18. Information exchange

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

2. Having agreement to the information exchange with the external.

3. Taking measures to protect means of keeping information when moving.

4. Setting up and implementing measures to protect the information exchanged between IT systems.

Article 19. Electronic trading services

1. Taking measures to protect information in electronic commerce to combat activities of fraud, illegal modification:

a) Transmission and communication protocols must be encrypted;

b) Using strong authentication methods such as multi-component authentication or digital signatures for members participating in the transaction.

2. Information in online transactions must be transmitted in full and correct address, avoiding being modified, disclosure or an unauthorized duplicate.

3. Public information on the IT systems must be protected to prevent unauthorized modification.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

1. Logging and prescribing storage time of information on the operation of IT systems and users, errors arising and incidents causing unsafe to the information to assist in later investigation, supervision.

2. Reviewing and making periodic reports on logs and activities dealing with errors and necessary incidents.

3. Protecting features logging and log information, anti-counterfeit and unauthorized access. System administrators and users may not delete or modify the system log which records their own activities.

4. There are mechanisms of time synchronization between IT systems.

Article 21. Prevention and combat of virus and mal-ware

Setting up and implementing regulations on anti-virus, malicious code to meet the following basic requirements:

1. Developing systems to prevent computer viruses for the entire IT system of units.

2. Inspecting, killing virus, malicious code for the entire IT system of units every day and means of keeping information from the outside before using.

3. No opening strange e-mails, the attachments or links in the strange email to avoid viruses, malicious code.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

5. Promptly updating the model virus, mal-ware and antivirus software, new mal-ware code.

6. Immediately notifying to the system administrators to handle in the cases detecting but unable to kill viruses, malicious code.

7. No installing software self-willed without permission from the system administrator.

ITEM 6. MEASURES OF ACCESSING MANAGEMENT

Article 22. Professional skill requirements for accessing control

1. Building and implementing regulations on accessing management for users, user groups, guaranteeing to meet business requirements and safety, security requirements. Provisions on accessing management include the following basic contents:

a) Registration, issuance, renewal and withdrawal of access right of users;

b) Limitation and control of privileges accesses;

c) Management and allocation of passwords;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

2. Regulations on accessing management must meet the following requirements:

a) Password length must be six characters or more, made ​​up of numeric, text and other special characters if the system allows. Requirements of valid password must be checked automatically when setting up password;

b) The default password of the manufacturer installed availably on the equipment, software, databases must be changed right when put into use;

c) Password management software must have the functions: to announce to users for changing their passwords which are going to expire; to cancel the validity of the password expired; to allow changing immediately the password disclosed, to be in danger of being disclosed at the request of users; to stop the use the old password in a certain time.

3. Stipulating liability of users when being granted right to access: Using password in compliance with regulation, keeping confidential password, exiting from the system when not working on it or temporarily not working on it.

Article 23. Management of internet access

1. Promulgating regulations on use of the network and network services, the licensing procedures, removing the right to connect to the network and network services, the ways and means of network access, network services. In which specifying clearly:

a) The network and network services are permitted to use;

b) Conditions for being connected to the network.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

3. Controlling the access to the ports used to configure and manage network devices.

4. Splitting the network into different network regions according to using object, purposes and information systems.

Article 24. Control of operating system access

1. Having procedures to control the access to operating system; provisions on managing password to access into operating system safely, securely.

2. Person who uses operating system must have a unique identifier and to be verified, identified, saved traces when accessing into the operation system.

3. Using more other authentication methods such as biometry or card for critical servers besides the authentication by password.

4. Providing for limits and strict control of the system utility which is able to affect systems and other applications programs.

5. Automatically disconnecting the working shift after a period of not using, to prevent unauthorized access.

6. Providing for time limits connected with the high risk applications.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

1. Managing and assigning the right to access to information and applications suitable to the functions and responsibilities of users:

a) Assigning the right to access to each folder, the function of program;

b) Assigning the right to read, write, delete, execute to information, data and program.

2. The important information system must be put in a private computer network environment. If the information systems together use common resources, they must be accepted by the system administrator.

ITEM 7. RECEIPT, DEVELOPMENT, MAINTENANCE OF INFORMATION SYSTEM

Article 26. Requirements on safety, keeping secrets to the information systems 

When building new information systems or improving existing information systems, relative persons must offer requirements on safety, security, simultaneously with the offering of technical, professional requirements.

Article 27. Ensuring safety, keeping secrets of applications 

The business applications program must meet the following requirements:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

2. Checking the validity of data need to be handled automatically in the application to detect incorrect information due to errors in the course of processing or behaviors of modifying information deliberately.

3. Having measures to ensure the authenticity and protect integrity of data to be processed in applications.

4. Checking the validity of the output from applications to ensure the course of processing information of the applications is accurate and valid.

Article 28. Management of encryption

1. Stipulating and putting to use encryption measures and key management in accordance with national or international standards which have been recognized to protect the information of the unit. Using encryption algorithms such as:

a) AES: Advanced Encryption Standard;

b) 3DES: Triple Data Encryption Standard;

c) RSA: Rivest-Shamir-Adleman;

d) Other algorithms.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Article 29. Safety, keeping secrets system files

1. Providing for management, installment, updating of the software on existing systems, ensuring safety for the file system.

2. Checking, testing data must be selected, protected, managed and controlled carefully.

3. The access to source program must be managed and controlled strictly.

Article 30. Safety, keeping secrets in the process of support and development

1. There must be regulations on management and change control of information system.

2. When changing the operating system must examine and review critical business applications to ensure the system operating stably, safely in the new environment.

3. The amendment of software packages must be managed and controlled strictly.

4. Supervision and strict management of hiring, purchasing external software.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

1. Having provisions for the assessment, management and control of technical weak point of IT systems in use. Periodically assessing and reporting on technical weak point of IT systems in use.

2. Developing and implementing solutions to overcome the technical weak point, limiting the concerned risks.

ITEM 8. MANAGEMENT OF TROUBLES ON INFORMATION TECHNOLOGY

Article 32. Troubleshooting report

1. Setting up the process of report, report templates and specifying clearly the reporting recipients for IT problems.

2. Clearly defining responsibilities of report of managers, staffs and third parties about the IT problems.

3. The unsafe incidents must be immediately reported to the competent persons and those relating to remedies in the shortest time.

Article 33. Controlling and troubleshooting

1. Promulgating procedures, responsibilities to overcome and prevent IT problems, ensuring incidents to be handled in the shortest time and minimizing the possibility of repeated incidents.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

3. Collecting, recording, preserving evidence and proof for examination, treatment, recovery and prevention of incidents. In the case of having IT incidents related to violations of law, the unit is responsible for collecting and providing evidence to the competent authorities in accordance with the provisions of law.

ITEM 9. ENSURING OF CONTINUOUS OPERATION OF THE INFORMATION TECHNOLOGY SYSTEM

Article 34. Ensuring of continuous operation

1. Depending on the size and importance level of each IT system for operation of the unit to select the critical IT systems, can significantly affect the operation of the unit.

2. Developing and implementing plans and processes to ensure continuous operation of critical IT systems.

3. Minimum every six months, inspecting, testing, evaluating and updating processes to ensure continuous operation of critical IT systems.

4. Plans, processes to ensure continuous operation must be examined, evaluated and updated when the system changes.

Article 35. Acts of disaster prevention

1. Building backup system for critical IT systems of the unit. The backup system must be away from the main system at least 30 kilometers calculating upon a straight line connecting the two systems.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

3. Minimum every three months, the unit must move operations from the main system to the backup system to ensure the uniformity and availability of backup systems.

4. Minimum every three months, conducting inspections, evaluating operation of the backup system.

ITEM 10. INTERNAL EXAMINATION AND REPORT

Article 36. Internal examination

1. The units must self-organize to examine the compliance of the provisions of this Circular at least once a year.

2. Inspection results and recommendations must be made into the report.

Article 37. Report

The unit is responsible for submitting reports to the State Bank of Vietnam (Department of Information Technology) as follows:

1. Regulation of safety, IT security of the units:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

b) For units not yet issued regulations on safety, IT security from the effective date of this Circular: The units must issue and sent the regulation on safety, IT security within six months from the effective date of this Circular.

2. Annual report:

a) The amendments, supplementation of IT security, safety regulations, if any, reports of internal inspection of units under the provisions of Article 36 of this Circular.

b) Deadline for sending report: before the 15th of March annually.

c) Forms and report form: Under the guidance of the State Bank of Vietnam (Department of Information Technology).

3. Irregular report:

Upon the occurrence of cases, the safety loss for IT systems and units shall send irregular report in writing, specifically as follows:

a) The deadline for submission of report: Within 10 days from the time the case is detected.

b) Contents of irregular report:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- The cause;

- Assessment of risk, impact on IT systems and operations at the place of incident and other relevant locations;

- The measures that the units were taken to remedy and prevent risks;

- Petition and proposal.

Chapter 3.

IMPLEMENTATION PROVISIONS

Article 38. Handling of violations

Organizations, individuals who commit violations of provisions of this Circular, depending on the nature and seriousness shall be handled according to provisions of law.

Article 39. Effect

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Decision No.04/2006/QD-NHNN dated 18/01/2006 of the Government of the State Bank on stipulating regulation of safety, keeping secrets IT system in banking field;

- Decision No.14/2000/QD-NHNN16 dated 07/01/2000 of the Government of the State Bank on stipulating regulation of management, use of IT system in banking field;

- Decision No.864/2003/QD-NHNN dated 05/8/2003 of the Government on amending, supplementing a number of Articles of management, use of IT system in banking field issuing together with this Decision No.14/2000/QD-NHNN16 dated 07/01/2000.

2. During the course of implementation, if any problems, difficulties arise, relative units promptly reflect to the State Bank of Vietnam for consideration, supplementation and modification.

Article 40. Responsibility of implementation

1. Department of Information and Technology is responsible for supervision, inspection of the implementation of this Circular of the Units.

2. The inspection agency, banking supervision are responsible for coordination with Department of Information and Technology to inspect the implementation of this Circular over the credit institutions, branches of foreign banks and handling administrative violations for the violations according to law regulations.

3. Department of Internal Audit is responsible for the implementing internal audit the implementation of this Circular for the units under the State Bank of Vietnam.

4. Heads of relative units under the State Bank of Vietnam; Directors of branches of the State Banks provinces, cities directly under the central; Chairman of management board, General Directors (directors) of the credit institutions, branches of foreign banks are responsible for deploying and inspecting the implementation at its unit in compliance with law regulations of this Circular.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

 

 

FOR THE GOVERNOR




Nguyen Toan Thang

 

 

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Thông tư 01/2011/TT-NHNN ngày 21/02/2011 quy định việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


25.177

DMCA.com Protection Status
IP: 3.140.185.250
Hãy để chúng tôi hỗ trợ bạn!