Việc ban hành và thực hiện chính sách, quy định về ATTT được thể hiện tại những Điều khoản nào trong Thông tư 09/2020 của SBV?
Thông tư 09/2020/TT-NHNN của Ngân hàng Nhà nước Việt Nam quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng. Việc ban hành và thực hiện chính sách, quy định về an toàn thông tin được thể hiện chủ yếu tại các điều khoản sau:
Điều 3. Nguyên tắc chung: Xác định trách nhiệm của tổ chức trong việc bảo đảm an toàn thông tin, bao gồm việc phân loại hệ thống thông tin và áp dụng chính sách an toàn phù hợp.
Điều 6. Chính sách an toàn thông tin: Yêu cầu tổ chức xây dựng, ban hành và cập nhật chính sách an toàn thông tin, bao gồm các nội dung như quản lý rủi ro, kiểm soát truy cập, bảo vệ dữ liệu và ứng phó sự cố.
Điều 7. Tổ chức bộ máy và nhân sự an toàn thông tin: Quy định về việc thành lập bộ phận chuyên trách hoặc chỉ định cá nhân phụ trách an toàn thông tin, cùng với việc đào tạo và nâng cao nhận thức cho nhân viên.
Điều 8. Quản lý rủi ro an toàn thông tin: Hướng dẫn tổ chức thực hiện đánh giá, phân loại và xử lý rủi ro an toàn thông tin, bao gồm việc xác định các biện pháp kiểm soát phù hợp.
Điều 9. Quản lý truy cập hệ thống thông tin: Đề cập đến việc kiểm soát quyền truy cập, xác thực người dùng và quản lý mật khẩu để bảo đảm an toàn cho hệ thống thông tin.
Điều 10. Quản lý hoạt động của hệ thống thông tin: Quy định về việc giám sát, ghi nhật ký và kiểm tra hoạt động của hệ thống thông tin nhằm phát hiện và xử lý kịp thời các sự cố.
Điều 11. Quản lý bảo mật thông tin: Hướng dẫn về việc bảo vệ thông tin, bao gồm mã hóa dữ liệu, quản lý khóa mã và bảo vệ thông tin cá nhân.
Điều 12. Quản lý sự cố an toàn thông tin: Quy định về việc xây dựng và thực hiện quy trình xử lý sự cố an toàn thông tin, bao gồm việc phát hiện, phản ứng và khắc phục sự cố.
Điều 13. Kiểm tra, đánh giá an toàn thông tin: Yêu cầu tổ chức thực hiện kiểm tra, đánh giá định kỳ về an toàn thông tin và báo cáo kết quả cho cấp có thẩm quyền.
Điều 14. Quản lý nhà cung cấp dịch vụ bên ngoài: Quy định về việc lựa chọn, đánh giá và giám sát các nhà cung cấp dịch vụ bên ngoài liên quan đến hệ thống thông tin.
Điều 15. Đào tạo và nâng cao nhận thức về an toàn thông tin: Yêu cầu tổ chức thực hiện đào tạo và nâng cao nhận thức cho nhân viên về an toàn thông tin.
Điều 16. Quản lý thay đổi hệ thống thông tin: Quy định về việc quản lý các thay đổi trong hệ thống thông tin để bảo đảm an toàn và ổn định.
Điều 17. Quản lý bảo trì hệ thống thông tin: Hướng dẫn về việc thực hiện bảo trì hệ thống thông tin để bảo đảm hoạt động liên tục và an toàn.
Điều 18. Quản lý sao lưu và phục hồi dữ liệu: Quy định về việc thực hiện sao lưu và phục hồi dữ liệu để bảo đảm tính sẵn sàng và toàn vẹn của thông tin.
Điều 19. Quản lý thiết bị di động và làm việc từ xa: Hướng dẫn về việc quản lý và bảo vệ thiết bị di động cũng như hoạt động làm việc từ xa để bảo đảm an toàn thông tin.
Điều 20. Quản lý phần mềm độc hại: Quy định về việc phòng chống, phát hiện và xử lý phần mềm độc hại trong hệ thống thông tin.
Điều 21. Quản lý mạng và truyền thông: Hướng dẫn về việc bảo đảm an toàn cho mạng và các kênh truyền thông trong tổ chức.
Điều 22. Quản lý môi trường vật lý và an ninh: Quy định về việc bảo vệ môi trường vật lý và an ninh cho hệ thống thông tin.
Điều 23. Quản lý hoạt động của bên thứ ba: Hướng dẫn về việc quản lý và giám sát hoạt động của các bên thứ ba liên quan đến hệ thống thông tin.
Điều 24. Quản lý tính liên tục của hoạt động kinh doanh: Quy định về việc xây dựng và thực hiện kế hoạch bảo đảm tính liên tục của hoạt động kinh doanh trong trường hợp xảy ra sự cố an toàn thông tin.
Điều 25. Quản lý tuân thủ và pháp lý: Hướng dẫn về việc bảo đảm tuân thủ các quy định pháp luật và yêu cầu pháp lý liên quan đến an toàn thông tin.
Điều 26. Quản lý tài sản thông tin: Quy định về việc xác định, phân loại và bảo vệ tài sản thông tin của tổ chức.
Điều 27. Quản lý rủi ro bên ngoài: Hướng dẫn về việc nhận diện và quản lý các rủi ro an toàn thông tin từ bên ngoài tổ chức.
Điều 28. Quản lý rủi ro nội bộ: Quy định về việc nhận diện và quản lý các rủi ro an toàn thông tin từ bên trong tổ chức.
Điều 29. Quản lý rủi ro liên quan đến con người: Hướng dẫn về việc quản lý rủi ro an toàn thông tin liên quan đến con người, bao gồm nhân viên và các bên liên quan khác.