Trong hoạt động ngân hàng khi chọn bên thứ ba cung cấp dịch vụ điện toán đám mây thì cần áp dụng những tiêu chí nào?
- Trong hoạt động ngân hàng khi chọn bên thứ ba cung cấp dịch vụ điện toán đám mây thì cần áp dụng những tiêu chí nào?
- Yêu cầu khi sử dụng dịch vụ của bên thứ ba cho các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được quy định như thế nào?
- Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ công nghệ thông tin của bên thứ ba trong hoạt động ngân hàng được quy định như thế nào?
Trong hoạt động ngân hàng khi chọn bên thứ ba cung cấp dịch vụ điện toán đám mây thì cần áp dụng những tiêu chí nào?
Căn cứ theo Điều 34 Thông tư 09/2020/TT-NHNN quy định như sau:
Tiêu chí lựa chọn bên thứ ba cung cấp dịch vụ điện toán đám mây
Tiêu chí lựa chọn bên thứ ba bao gồm các nội dung tối thiểu sau:
1. Bên thứ ba phải là doanh nghiệp.
2. Có hạ tầng công nghệ thông tin tương ứng với dịch vụ mà tổ chức sử dụng đáp ứng các yêu cầu sau:
a) Các quy định của pháp luật Việt Nam;
b) Có chứng nhận quốc tế còn hiệu lực về bảo đảm an toàn thông tin.
Như vậy trong hoạt động ngân hàng khi chọn bên thứ ba cung cấp dịch vụ điện toán đám mây thì cần áp dụng những tiêu chí bao gồm:
Bên thứ ba phải là doanh nghiệp;
Có hạ tầng công nghệ thông tin tương ứng với dịch vụ mà tổ chức sử dụng đáp ứng các yêu cầu theo quy định.
Hoạt động ngân hàng (Hình từ Internet)
Yêu cầu khi sử dụng dịch vụ của bên thứ ba cho các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được quy định như thế nào?
Căn cứ theo Điều 33 Thông tư 09/2020/TT-NHNN quy định như sau:
Các yêu cầu khi sử dụng dịch vụ của bên thứ ba
Trước khi sử dụng dịch vụ của bên thứ ba triển khai cho các hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng, tổ chức thực hiện:
1. Đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động tối thiểu bao gồm các nội dung sau:
a) Nhận diện rủi ro, phân tích, ước lượng cấp độ tổn hại, mối đe dọa đến an toàn thông tin;
b) Khả năng kiểm soát các quy trình nghiệp vụ, khả năng cung cấp dịch vụ liên tục, khả năng thực hiện nghĩa vụ cung cấp thông tin cho các cơ quan nhà nước;
c) Xác định rõ vai trò, trách nhiệm của các bên liên quan trong việc bảo đảm chất lượng dịch vụ;
d) Xây dựng các biện pháp nhằm giảm thiểu rủi ro, biện pháp phòng ngừa, ứng cứu, khắc phục sự cố;
đ) Rà soát và điều chỉnh chính sách quản lý rủi ro (nếu có).
2. Trong trường hợp sử dụng dịch vụ điện toán đám mây, ngoài các yêu cầu tại khoản 1 Điều này, tổ chức thực hiện:
a) Phân loại hoạt động, nghiệp vụ dự kiến triển khai trên điện toán đám mây dựa trên đánh giá tác động của hoạt động, nghiệp vụ đó với hoạt động của tổ chức;
b) Xây dựng phương án dự phòng đối với các cấu phần của hệ thống thông tin từ cấp độ 3 trở lên. Phương án dự phòng phải được kiểm thử và đánh giá sẵn sàng thay thế cho các hoạt động, nghiệp vụ triển khai trên điện toán đám mây;
c) Xây dựng các tiêu chí lựa chọn bên thứ ba đáp ứng yêu cầu quy định tại Điều 34 Thông tư này;
d) Rà soát, bổ sung, áp dụng các biện pháp bảo đảm an toàn thông tin của tổ chức, giới hạn truy cập từ điện toán đám mây đến các hệ thống thông tin của tổ chức.
3. Trường hợp thuê bên thứ ba thực hiện toàn bộ công việc quản trị hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin xử lý thông tin khách hàng, tổ chức thực hiện đánh giá rủi ro theo quy định tại khoản 1 Điều này và gửi báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước (Cục Công nghệ thông tin).
Như vậy khi sử dụng dịch vụ của bên thứ ba cho các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng thì phải đáp ứng các yêu cầu như quy định này.
Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ công nghệ thông tin của bên thứ ba trong hoạt động ngân hàng được quy định như thế nào?
Căn cứ theo Điều 36 Thông tư 09/2020/TT-NHNN quy định như sau:
Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên thứ ba
Khi sử dụng dịch vụ của bên thứ ba, tổ chức có trách nhiệm sau:
1. Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định về an toàn thông tin của tổ chức.
2. Có quy trình và bố trí nguồn lực để giám sát, kiểm soát các dịch vụ do bên thứ ba cung cấp bảo đảm chất lượng dịch vụ theo thỏa thuận đã ký kết. Đối với dịch vụ điện toán đám mây, phải giám sát, kiểm soát chất lượng dịch vụ.
3. Áp dụng các quy định về an toàn thông tin của tổ chức đối với trang thiết bị, dịch vụ do bên thứ ba cung cấp được triển khai trên hạ tầng do tổ chức quản lý, sử dụng.
4. Quản lý các thay đổi đối với dịch vụ do bên thứ ba cung cấp bao gồm: thay đổi nhà cung cấp, thay đổi giải pháp, thay đổi phiên bản, thay đổi các nội dung quy định tại Điều 41 Thông tư này; đánh giá đầy đủ tác động của việc thay đổi, bảo đảm an toàn khi được đưa vào sử dụng.
5. Áp dụng các biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba khi cho phép bên thứ ba truy cập vào hệ thống thông tin của tổ chức.
6. Giám sát nhân sự của bên thứ ba trong quá trình thực hiện hợp đồng. Trường hợp phát hiện nhân sự bên thứ ba vi phạm quy định về an toàn thông tin phải thông báo và phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời.
7. Thu hồi quyền truy cập hệ thống thông tin đã được cấp cho bên thứ ba, thay đổi các khóa, mã khóa bí mật nhận bàn giao từ bên thứ ba ngay sau khi hoàn thành công việc hoặc kết thúc hợp đồng.
8. Đối với hệ thống thông tin từ cấp độ 3 trở lên, các hệ thống thông tin xử lý thông tin khách hàng hoặc hệ thống thông tin sử dụng dịch vụ điện toán đám mây, phải đánh giá sự tuân thủ các quy định về bảo đảm an toàn thông tin của bên thứ ba theo đúng thỏa thuận đã ký kết. Thực hiện đánh giá sự tuân thủ định kỳ hàng năm hoặc đột xuất khi có nhu cầu. Việc đánh giá tuân thủ có thể sử dụng kết quả kiểm toán công nghệ thông tin của tổ chức kiểm toán độc lập.
Hoạt động ngân hàng gồm các hoạt động nào? Tổ chức tín dụng nào được thực hiện tất cả hoạt động ngân hàng?
Chi nhánh ngân hàng nước ngoài phải được phép thực hiện hoạt động ngân hàng tại nước đặt trụ sở chính thì mới được cấp Giấy phép thành lập?
Công ty tài chính chuyên ngành được tư vấn về hoạt động ngân hàng không? Nguyên tắc tư vấn về hoạt động ngân hàng?
Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến bao nhiêu tháng?
Tổ chức quản lý nguồn nhân lực của an toàn hệ thống thông tin trong hoạt động ngân hàng như thế nào?
Hệ thống thông tin cấp độ 5 trong hoạt động ngân hàng phải có tiêu chí nào? Tài sản thông tin trên hệ thống có những thông tin nào?
Thiết bị di động có phải là tài sản vật lý trong bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng không?
Vật mang tin là gì? Trước khi sử dụng vật mang tin trong hoạt động ngân hàng thì có cần phải kiểm tra diệt mã độc không?
Tài sản phần mềm là một loại tài sản công nghệ thông tin trong hoạt động ngân hàng đúng không theo quy định?
Để an toàn tài sản vật lý trong hoạt động ngân hàng thì tài sản này phải được bố trí và lắp đặt ở đâu?
Đặt câu hỏi
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.
- Chủ hàng hóa quá cảnh có phải nộp lệ phí hải quan và các loại phí khác cho hàng hóa quá cảnh của mình không?
- Tiêu chuẩn quốc gia TCVN 13929:2024 về Bê tông - Phương pháp thử tăng tốc Cacbonat hóa thế nào?
- Mức ưu đãi trong lựa chọn nhà đầu tư thực hiện dự án đầu tư có sử dụng đất? Quy định về việc quản lý nguồn thu lựa chọn nhà đầu tư?
- Không chấp hành quyết định thanh tra, kiểm tra trong quản lý giá từ ngày 12/7/2024 bị xử phạt bao nhiêu tiền?
- Tổ chức, cá nhân liên quan đến phương tiện vận tải xuất cảnh trong việc phòng chống buôn lậu có nghĩa vụ gì?