Thông tư 09/2020/TT-NHNN về an toàn hệ thống thông tin trong hoạt động ngân hàng

Thông tư gồm có 3 Chương, 57 Điều và các bản Phụ lục về các Mẫu Báo cáo.

Trong đó, Điều 4 qui định về phân loại thông tin: Thông tin xử lý, lưu trữ thông qua hệ thống thông tin được phân loại theo thuộc tính bí mật như sau:

1- Thông tin công cộng là thông tin được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó.

2- Thông tin riêng (hoặc thông tin nội bộ) là thông tin được phân quyền quản lý, khai thác cho một hoặc một nhóm đối tượng được xác định danh tính.

3- Thông tin cá nhân là thông tin định danh khách hàng và các thông tin sau: thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch và các thông tin có liên quan khác.

4- Thông tin bí mật là: a- Thông tin Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước; b- Thông tin hạn chế tiếp cận theo quy định của tổ chức.

Điều 6 qui định về Quy chế an toàn thông tin: Tổ chức xây dựng quy chế an toàn thông tin phù hợp với hệ thống thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của tổ chức. Quy chế an toàn thông tin phải được người đại diện hợp pháp ký ban hành và triển khai thực hiện trong toàn tổ chức.

Quy chế an toàn thông tin tối thiểu gồm các nội dung cơ bản sau: 1- Quản lý tài sản công nghệ thông tin; 2- Quản lý nguồn nhân lực; 3- Bảo đảm an toàn về mặt vật lý và môi trường lắp đặt; 4- Quản lý vận hành và trao đổi thông tin; 5- Quản lý truy cập; 6- Quản lý sử dụng dịch vụ công nghệ thông tin của bên thứ ba; 7- Quản lý tiếp nhận, phát triển, duy trì hệ thống thông tin; 8- Quản lý sự cố an toàn thông tin; 9- Bảo đảm hoạt động liên tục của hệ thống thông tin; 10- Kiểm tra nội bộ và chế độ báo cáo.

Tổ chức rà soát quy chế an toàn thông tin tối thiểu mỗi năm một lần, bảo đảm sự đầy đủ của quy chế theo các quy định tại Thông tư này. Khi phát hiện những bất cập, bất hợp lý gây ra mất an toàn thông tin hoặc theo yêu cầu của cơ quan có thẩm quyền, tổ chức tiến hành chỉnh sửa, bổ sung ngay quy chế an toàn thông tin đã ban hành.