Người anh em thân mến,

Theo Thông tư 09/2020/TT-NHNN do Ngân hàng Nhà nước Việt Nam ban hành, các biện pháp kiểm soát và giám sát bên thứ ba khi triển khai dịch vụ, làm việc trên hệ thống thông tin tại đơn vị, hỗ trợ từ xa được quy định chủ yếu tại các điều sau:

1. Điều 33: Các yêu cầu khi sử dụng dịch vụ của bên thứ ba

   Trước khi sử dụng dịch vụ của bên thứ ba cho các hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống xử lý thông tin cá nhân của khách hàng, tổ chức phải:

   • Đánh giá rủi ro công nghệ thông tin và rủi ro hoạt động, bao gồm:

     • Nhận diện rủi ro, phân tích, ước lượng mức độ tổn hại và mối đe dọa đến an toàn thông tin.
     • Khả năng kiểm soát quy trình nghiệp vụ, cung cấp dịch vụ liên tục và thực hiện nghĩa vụ cung cấp thông tin cho cơ quan nhà nước.
     • Xác định rõ vai trò, trách nhiệm của các bên trong việc đảm bảo chất lượng dịch vụ.
     • Xây dựng biện pháp giảm thiểu rủi ro, phòng ngừa, ứng cứu và khắc phục sự cố.
     • Rà soát và điều chỉnh chính sách quản lý rủi ro (nếu có).

   • Khi sử dụng dịch vụ điện toán đám mây, ngoài các yêu cầu trên, tổ chức cần:

     • Phân loại hoạt động, nghiệp vụ dự kiến triển khai trên điện toán đám mây dựa trên đánh giá tác động đến hoạt động của tổ chức.
     • Xây dựng phương án dự phòng cho các cấu phần của hệ thống thông tin từ cấp độ 3 trở lên, đảm bảo phương án này được kiểm thử và sẵn sàng thay thế khi cần.
     • Xây dựng tiêu chí lựa chọn bên thứ ba đáp ứng yêu cầu tại Điều 34 của Thông tư.
     • Rà soát, bổ sung và áp dụng các biện pháp đảm bảo an toàn thông tin, giới hạn truy cập từ điện toán đám mây đến các hệ thống thông tin của tổ chức.

   • Nếu thuê bên thứ ba thực hiện toàn bộ công việc quản trị hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống xử lý thông tin khách hàng, tổ chức phải đánh giá rủi ro theo quy định và gửi báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước (Cục Công nghệ thông tin).

2. Điều 36: Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên thứ ba

   Khi sử dụng dịch vụ của bên thứ ba, tổ chức có trách nhiệm:

   • Cung cấp, thông báo và yêu cầu bên thứ ba tuân thủ các quy định về an toàn thông tin của tổ chức.
   • Thiết lập quy trình và bố trí nguồn lực để giám sát, kiểm soát chất lượng dịch vụ do bên thứ ba cung cấp, đảm bảo tuân thủ thỏa thuận đã ký kết.
   • Áp dụng các quy định về an toàn thông tin đối với trang thiết bị, dịch vụ do bên thứ ba cung cấp được triển khai trên hạ tầng do tổ chức quản lý, sử dụng.
   • Quản lý các thay đổi đối với dịch vụ do bên thứ ba cung cấp, bao gồm: thay đổi nhà cung cấp, giải pháp, phiên bản và các nội dung quy định tại Điều 41 của Thông tư; đánh giá đầy đủ tác động của các thay đổi và đảm bảo an toàn khi đưa vào sử dụng.
   • Áp dụng biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba khi cho phép họ truy cập vào hệ thống thông tin của tổ chức.
   • Giám sát nhân sự của bên thứ ba trong quá trình thực hiện hợp đồng; nếu phát hiện vi phạm về an toàn thông tin, phải thông báo và phối hợp với bên thứ ba để xử lý kịp thời.
   • Thu hồi quyền truy cập hệ thống thông tin đã cấp cho bên thứ ba, thay đổi các khóa, mã khóa bí mật nhận bàn giao từ bên thứ ba ngay sau khi hoàn thành công việc hoặc kết thúc hợp đồng.
   • Đối với hệ thống thông tin từ cấp độ 3 trở lên, các hệ thống xử lý thông tin khách hàng hoặc sử dụng dịch vụ điện toán đám mây, phải đánh giá sự tuân thủ các quy định về đảm bảo an toàn thông tin của bên thứ ba theo thỏa thuận đã ký kết; thực hiện đánh giá định kỳ hàng năm hoặc đột xuất khi cần; việc đánh giá có thể sử dụng kết quả kiểm toán công nghệ thông tin của tổ chức kiểm toán độc lập.

Những quy định này nhằm đảm bảo an toàn và bảo mật thông tin khi tổ chức sử dụng dịch vụ của bên thứ ba trong hoạt động ngân hàng.

Để nắm bắt thêm thông tin chi tiết và cập nhật về trí tuệ nhân tạo, người anh em có thể ghé thăm trituenhantao.io.