Trong bối cảnh số hóa ngày càng sâu rộng, an toàn hệ thống thông tin trở thành yếu tố then chốt, đặc biệt trong lĩnh vực ngân hàng. Việc bảo vệ dữ liệu và hoạt động giao dịch trước các mối đe dọa mạng là ưu tiên hàng đầu để duy trì niềm tin khách hàng và sự ổn định tài chính. Thông tư 09/2020/TT-NHNN đã ra đời nhằm thiết lập một khuôn khổ pháp lý vững chắc cho vấn đề cấp bách này, đưa ra các yêu cầu tối thiểu về bảo đảm an toàn thông tin cho toàn bộ hệ thống ngân hàng tại Việt Nam.
Thông tư này là một văn bản pháp lý quan trọng do Ngân hàng Nhà nước Việt Nam ban hành, có hiệu lực từ ngày 01/01/2021. Nó áp dụng cho các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng, và các đơn vị khác hoạt động trong ngành ngân hàng có sử dụng hệ thống thông tin. Mục tiêu cốt lõi là nâng cao khả năng chống chịu trước các rủi ro công nghệ thông tin và sự cố an toàn thông tin, từ đó bảo vệ dữ liệu, tài sản và hoạt động nghiệp vụ.
Các quy định được xây dựng trên nguyên tắc phân định rõ ràng quyền hạn và trách nhiệm của từng bộ phận, cá nhân. Đồng thời, hệ thống thông tin được phân loại theo cấp độ rủi ro để áp dụng các chính sách an toàn thông tin phù hợp, bảo đảm hiệu quả quản lý. Việc nhận diện, phân loại và xử lý rủi ro công nghệ thông tin được nhấn mạnh là quá trình liên tục và hiệu quả. Quy chế an toàn thông tin của mỗi tổ chức phải được xây dựng dựa trên các quy định này, có tính linh hoạt và khả thi trong thực tiễn, được rà soát và cập nhật định kỳ.
Quy định chung về phạm vi, đối tượng và phân loại hệ thống
Phạm vi điều chỉnh của Thông tư 09/2020/TT-NHNN khá rộng, bao gồm những yêu cầu tối thiểu để đảm bảo an toàn cho các hệ thống thông tin phục vụ hoạt động kỹ thuật, nghiệp vụ của các tổ chức trong ngành ngân hàng. Đối tượng áp dụng không chỉ giới hạn ở các ngân hàng thương mại mà còn mở rộng tới các tổ chức cung ứng dịch vụ trung gian thanh toán, các công ty liên quan đến tín dụng và thanh toán quốc gia, thậm chí cả Nhà máy in tiền quốc gia và Bảo hiểm tiền gửi Việt Nam. Điều này cho thấy tầm quan trọng của việc xây dựng một hệ thống an ninh đồng bộ trên toàn ngành.
Để áp dụng các biện pháp bảo vệ phù hợp, Thông tư đưa ra cách phân loại thông tin và hệ thống thông tin dựa trên mức độ nhạy cảm và ảnh hưởng khi xảy ra sự cố. Thông tin được chia thành công cộng, riêng (nội bộ), cá nhân, và bí mật (bao gồm bí mật nhà nước và thông tin hạn chế tiếp cận của tổ chức). Việc phân loại này giúp xác định mức độ bảo vệ cần thiết cho từng loại dữ liệu, từ đó triển khai các giải pháp kỹ thuật và quy trình quản lý phù hợp.
Hệ thống thông tin được phân loại theo 5 cấp độ, từ cấp độ 1 (phục vụ hoạt động nội bộ, xử lý thông tin công cộng) đến cấp độ 5 (xử lý thông tin bí mật nhà nước cấp Tuyệt Mật hoặc hệ thống quốc gia kết nối quốc tế). Các hệ thống cung cấp dịch vụ trực tuyến cho khách hàng tuân thủ Nghị định 85/2016/NĐ-CP, trong khi các hệ thống khác được phân loại chi tiết theo các tiêu chí về loại thông tin xử lý, thời gian chấp nhận ngừng vận hành, số lượng khách hàng, và vai trò trong ngành. Ví dụ, một hệ thống phục vụ khách hàng trực tuyến 24/7 nhưng không chấp nhận ngừng vận hành đột ngột có thể thuộc cấp độ 3. Một hệ thống xử lý dữ liệu của trên 10 triệu khách hàng có thể thuộc cấp độ 4. Việc phân cấp này là nền tảng để xác định các yêu cầu kỹ thuật và quy trình vận hành tương ứng, đảm bảo mức độ an toàn tương xứng với tầm quan trọng của hệ thống.
<>Xem Thêm Bài Viết:<>- Hình Nền Điện Thoại Về Học Tập: Bí Quyết Nâng Cao Thành Tích
- Giải Mã Ý Nghĩa Giấc **Ngủ Mơ Thấy Tiền 500k**: Điềm Báo Gì?
- Nằm Mơ Thấy Người Ta Trúng Số: Giải Mã Điềm Báo & Con Số May Mắn
- Mơ Thấy Công An Là Điềm Gì? Giải Mã Chi Tiết
- Lĩnh vực học tập là gì: Định hướng tương lai sự nghiệp
Quản lý tài sản và nguồn nhân lực công nghệ thông tin
Bảo đảm an toàn thông tin bắt đầu từ việc quản lý chặt chẽ các tài sản công nghệ thông tin. Thông tư 09/2020/TT-NHNN phân loại tài sản này thành ba nhóm chính: tài sản thông tin (dữ liệu số), tài sản vật lý (thiết bị, phương tiện lưu trữ) và tài sản phần mềm (ứng dụng, mã nguồn). Mỗi loại tài sản đều có những yêu cầu quản lý cụ thể. Tổ chức phải lập danh sách chi tiết các tài sản này, gắn với từng hệ thống thông tin và rà soát, cập nhật định kỳ hàng năm. Các biện pháp bảo vệ phải được áp dụng phù hợp với cấp độ của hệ thống thông tin liên quan.
Đối với tài sản thông tin, việc lập danh sách và quy định rõ thẩm quyền, trách nhiệm truy cập là bắt buộc. Thông tin bí mật phải được mã hóa hoặc bảo vệ bằng các biện pháp khác trong suốt vòng đời tồn tại của nó. Đặc biệt, các hệ thống thông tin từ cấp độ 3 trở lên phải áp dụng phương án chống thất thoát dữ liệu để ngăn chặn rò rỉ hoặc đánh cắp thông tin quan trọng. Việc này đòi hỏi triển khai các giải pháp kỹ thuật chuyên sâu như Data Loss Prevention (DLP).
Quản lý tài sản vật lý cũng rất quan trọng. Thiết bị di động và vật mang tin có các quy định riêng biệt. Tài sản vật lý phải được gắn trách nhiệm cho cá nhân hoặc bộ phận quản lý. Việc đưa tài sản có chứa thông tin bí mật ra khỏi trụ sở phải có phê duyệt và biện pháp bảo vệ. Khi thanh lý hoặc thay đổi mục đích sử dụng, dữ liệu bí mật phải được tiêu hủy hoặc xóa bỏ hoàn toàn, không thể phục hồi. Các quy định chi tiết được đưa ra cho việc quản lý thiết bị di động khi kết nối mạng nội bộ (đăng ký, giới hạn phạm vi truy cập, quản lý từ xa khi mất) và quản lý vật mang tin (kiểm soát kết nối, bảo đảm an toàn khi vận chuyển, bảo vệ thông tin bí mật).
Nguồn nhân lực là một yếu tố không thể thiếu trong chuỗi an toàn thông tin. Lãnh đạo cấp cao (Người đại diện hợp pháp) phải trực tiếp chỉ đạo và chịu trách nhiệm về chiến lược, kế hoạch an toàn thông tin và ứng cứu sự cố. Tổ chức có hệ thống cấp độ 3 trở lên phải có bộ phận chuyên trách về an toàn thông tin và tách biệt nhân sự giữa các nhiệm vụ phát triển, quản trị, vận hành và kiểm tra an toàn. Điều này nhằm giảm thiểu rủi ro do xung đột lợi ích hoặc sai sót tập trung.
Quy trình tuyển dụng và phân công nhiệm vụ cũng phải tích hợp các yếu tố an toàn thông tin. Xác định trách nhiệm an toàn thông tin cho từng vị trí, đặc biệt là các vị trí quan trọng. Xem xét tư cách đạo đức và chuyên môn qua lý lịch là cần thiết. Cam kết bảo mật thông tin bằng văn bản là bắt buộc đối với nhân sự mới. Việc phổ biến và cập nhật các quy định an toàn thông tin cho toàn bộ nhân viên diễn ra tối thiểu mỗi năm một lần, kèm theo kiểm tra tuân thủ. Khi nhân sự chấm dứt hoặc thay đổi công việc, tổ chức phải xác định trách nhiệm, thu hồi tài sản, và đặc biệt là thu hồi hoặc thay đổi quyền truy cập hệ thống ngay lập tức. Việc rà soát đối chiếu giữa bộ phận nhân sự và bộ phận quản lý truy cập được thực hiện định kỳ sáu tháng một lần để đảm bảo tính chính xác và kịp thời.
Bảo đảm an toàn vật lý và vận hành hệ thống
An toàn thông tin không chỉ dừng lại ở các biện pháp kỹ thuật số mà còn bao gồm cả an toàn vật lý. Thông tư 09/2020/TT-NHNN đưa ra các yêu cầu cụ thể đối với nơi lắp đặt trang thiết bị công nghệ thông tin. Các khu vực này cần được bảo vệ bằng tường bao, cổng kiểm soát, và các biện pháp phòng chống cháy nổ, ngập lụt. Các khu vực có yêu cầu bảo mật cao như trung tâm dữ liệu, phòng máy chủ phải được cách ly vật lý với các khu vực dùng chung khác và áp dụng biện pháp kiểm soát ra vào nghiêm ngặt.
Trung tâm dữ liệu, nơi tập trung các tài sản công nghệ thông tin quan trọng nhất, có những yêu cầu đặc biệt chi tiết. Cổng ra vào tòa nhà trung tâm dữ liệu phải có kiểm soát 24/7. Cửa vào bản thân trung tâm dữ liệu phải kiên cố, chống cháy, sử dụng tối thiểu hai loại khóa và được bảo vệ, giám sát liên tục. Môi trường lắp đặt thiết bị phải tránh các nguy cơ từ tự nhiên như nắng, nước. Các hệ thống hỗ trợ như điện, điều hòa không khí phải có khả năng hoạt động liên tục, với ít nhất một nguồn điện lưới và một nguồn máy phát, kèm theo hệ thống lưu điện (UPS) để duy trì hoạt động khi có sự cố. Hệ thống chống sét, sàn kỹ thuật chống nhiễm điện, hệ thống tiếp địa, hệ thống báo cháy và chữa cháy tự động (ưu tiên không làm hỏng thiết bị) là các yếu tố bắt buộc. Việc giám sát an ninh vật lý được thực hiện bằng camera giám sát, lưu trữ dữ liệu tối thiểu 90 ngày, cùng với hệ thống theo dõi nhiệt độ, độ ẩm và hồ sơ nhật ký kiểm soát vào ra.
An toàn của bản thân tài sản vật lý cũng được chú trọng. Các thiết bị phải được đặt ở vị trí an toàn, giảm thiểu rủi ro môi trường và truy cập trái phép. Tài sản vật lý thuộc hệ thống từ cấp độ 3 trở lên phải được đảm bảo nguồn điện liên tục, chống quá tải, sụt giảm điện áp và sét lan truyền. Dây cáp điện và cáp truyền thông phải được bảo vệ khỏi hư hại hoặc xâm phạm. Các thiết bị nghiệp vụ đặt ngoài trụ sở cũng cần có biện pháp giám sát và bảo vệ chống truy cập bất hợp pháp.
Các yêu cầu chi tiết về vận hành và giám sát an ninh mạng
Quản lý vận hành và trao đổi thông tin là một khía cạnh rộng lớn được đề cập chi tiết trong Thông tư 09/2020/TT-NHNN. Tổ chức có hệ thống thông tin từ cấp độ 3 trở lên phải ban hành các quy trình vận hành chi tiết, bao gồm bật/tắt hệ thống, sao lưu/phục hồi dữ liệu, xử lý sự cố, giám sát và ghi nhật ký. Các quy trình này cần được rà soát và cập nhật định kỳ hàng năm. Môi trường vận hành của hệ thống cấp độ 3 trở lên và hệ thống xử lý thông tin cá nhân khách hàng phải được tách biệt hoàn toàn với môi trường phát triển và kiểm thử, áp dụng các giải pháp an toàn thông tin và không cài đặt công cụ phát triển.
Đối với hệ thống xử lý giao dịch khách hàng, quy định nghiêm ngặt về việc tách biệt công việc (không để một người khởi tạo và phê duyệt giao dịch), áp dụng xác thực đa yếu tố cho các giao dịch liên ngân hàng giá trị lớn (từ 100 triệu đồng trở lên, trừ các hệ thống STP có xác thực tự động), đảm bảo tính toàn vẹn dữ liệu giao dịch và lưu vết mọi thao tác là bắt buộc.
Sao lưu dự phòng dữ liệu là một biện pháp sống còn. Tổ chức cần lập danh sách các hệ thống quan trọng cần sao lưu, tần suất, phương pháp và thời gian kiểm tra phục hồi. Dữ liệu hệ thống cấp độ 3 trở lên phải được sao lưu tự động, đảm bảo dữ liệu phát sinh được sao lưu trong vòng 24 giờ, và lưu trữ ra phương tiện ngoài (băng từ, đĩa cứng…) ngay trong ngày làm việc tiếp theo. Kiểm tra phục hồi dữ liệu từ phương tiện ngoài được thực hiện tối thiểu mỗi năm một lần cho hệ thống cấp độ 3+ và hai năm một lần cho các hệ thống khác.
An toàn, bảo mật hệ thống mạng là xương sống kết nối các thành phần. Tổ chức cần xây dựng quy định quản lý an toàn mạng và thiết bị đầu cuối, lưu trữ sơ đồ logic và vật lý của mạng. Hệ thống mạng phải được chia tách thành các vùng (server/DB cho cấp độ 3+, DMZ cho dịch vụ Internet, mạng không dây riêng) và sử dụng tường lửa để kiểm soát truy cập giữa các vùng quan trọng và từ mạng không tin cậy. Các giải pháp phát hiện, phòng chống xâm nhập trái phép và ứng phó tấn công từ chối dịch vụ (DoS/DDoS) cho hệ thống cấp độ 3+ cung cấp dịch vụ Internet cũng là yêu cầu bắt buộc.
Việc trao đổi thông tin với khách hàng và bên thứ ba cần có quy định rõ ràng về loại thông tin, quyền hạn, phương tiện, biện pháp bảo đảm tính toàn vẹn và bảo mật. Khi trao đổi thông tin cá nhân, nội bộ, bí mật với bên ngoài, phải có văn bản thỏa thuận trách nhiệm. Thông tin bí mật phải được mã hóa trước khi trao đổi. Đặc biệt, hệ thống cấp độ 5 yêu cầu sử dụng kết nối mạng an toàn và thiết bị chuyên dụng để mã hóa/giải mã.
Hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến cho khách hàng phải tuân thủ tiêu chuẩn TCVN 11930:2017. Cần đảm bảo tính toàn vẹn, bí mật dữ liệu trên đường truyền và áp dụng xác thực giao dịch phù hợp với mức độ rủi ro. Website giao dịch trực tuyến phải có biện pháp chống giả mạo và sửa đổi trái phép. Hệ thống này phải được giám sát chặt chẽ để phát hiện và cảnh báo các giao dịch đáng ngờ (dựa trên thời gian, địa điểm, tần suất, số tiền, số lần xác thực sai) và hoạt động bất thường của hệ thống, bao gồm cả các cuộc tấn công mạng. Tổ chức cũng có trách nhiệm hướng dẫn và cảnh báo rủi ro cho khách hàng sử dụng dịch vụ trực tuyến.
Giám sát và ghi nhật ký hoạt động là biện pháp quan trọng để phát hiện sự cố và điều tra sau này. Hệ thống thông tin từ cấp độ 2 trở lên phải ghi và lưu trữ nhật ký hoạt động của hệ thống và người dùng, lỗi, sự cố. Các loại nhật ký cần thu thập bao gồm thông tin kết nối mạng, đăng nhập, thay đổi cấu hình, truy cập dữ liệu quan trọng, lỗi phát sinh, cảnh báo và hiệu năng thiết bị (đối với cấp độ 3+). Dữ liệu nhật ký có thời gian lưu trữ trực tuyến và sao lưu khác nhau tùy cấp độ hệ thống, và phải được bảo vệ chống giả mạo, thay đổi.
Cuối cùng, phòng chống mã độc là một yêu cầu cơ bản. Tổ chức phải xây dựng quy định, triển khai giải pháp cho toàn bộ hệ thống, cập nhật thường xuyên mẫu mã độc và phần mềm phòng chống (hàng ngày), kiểm tra vật mang tin trước khi sử dụng, kiểm soát việc cài đặt phần mềm và xử lý thư điện tử lạ. Tất cả những quy định này nhằm xây dựng một lớp bảo vệ kiên cố trước các mối đe dọa từ phần mềm độc hại.
FAQs: Tìm hiểu thêm về Thông tư 09/2020/TT-NHNN
Thông tư 09/2020/TT-NHNN quy định về vấn đề gì?
Thông tư này quy định các yêu cầu tối thiểu về bảo đảm an toàn hệ thống thông tin trong các hoạt động thuộc lĩnh vực ngân hàng tại Việt Nam.
Đối tượng nào phải tuân thủ Thông tư 09/2020/TT-NHNN?
Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng, và các đơn vị liên quan khác trong ngành ngân hàng có thiết lập và sử dụng hệ thống thông tin.
Hệ thống thông tin trong ngân hàng được phân loại như thế nào theo Thông tư này?
Hệ thống thông tin được phân loại thành 5 cấp độ dựa trên mức độ quan trọng, loại thông tin xử lý, và yêu cầu vận hành liên tục, từ cấp độ 1 (hệ thống nội bộ, thông tin công cộng) đến cấp độ 5 (hệ thống quốc gia, thông tin bí mật cấp Tuyệt Mật).
Các yêu cầu về sao lưu dữ liệu theo Thông tư 09/2020/TT-NHNN là gì?
Dữ liệu hệ thống từ cấp độ 3 trở lên phải được sao lưu tự động trong vòng 24 giờ, lưu trữ ngoài khu vực hệ thống nguồn ngay trong ngày làm việc tiếp theo. Việc kiểm tra phục hồi dữ liệu sao lưu được thực hiện định kỳ tối thiểu mỗi năm một lần (cấp độ 3+) hoặc hai năm một lần (các hệ thống khác).
Thông tư 09/2020/TT-NHNN quy định gì về quản lý truy cập tài khoản người dùng?
Mỗi tài khoản truy cập hệ thống phải được gán cho một người dùng duy nhất. Trường hợp chia sẻ tài khoản dùng chung cần có phê duyệt và xác định rõ trách nhiệm cá nhân tại mỗi thời điểm sử dụng.
Thông tư 09/2020/TT-NHNN đóng vai trò là một trụ cột pháp lý quan trọng, nâng cao tiêu chuẩn về an toàn hệ thống thông tin trong hoạt động ngân hàng. Việc tuân thủ nghiêm ngặt các quy định này không chỉ giúp các tổ chức giảm thiểu rủi ro công nghệ thông tin, bảo vệ dữ liệu và tài sản mà còn củng cố niềm tin của khách hàng vào sự ổn định và bảo mật của hệ thống tài chính. Qua bài viết này, Edupace hy vọng cung cấp cái nhìn tổng quan về các yêu cầu cốt lõi của Thông tư, góp phần nâng cao nhận thức về tầm quan trọng của an ninh mạng trong lĩnh vực ngân hàng.
