Mục lục bài viết
- 1. Nguyên tắc chung vềan toàn công nghệ thông tin trong hoạt động ngân hàng
- 2. Phân loại thông tintrong hoạt động ngân hàng
- 3. Phân loại hệ thống thông tintrong hoạt động ngân hàng
- 4. Quy chế an toàn thông tintrong hoạt động ngân hàng
- 5. Mức phạt hành chính hành vi vi phạm quy định về an toàn công nghệ thông tin trong hoạt động ngân hàng
- 5.1 Hình phạt chính
- 5.2 Hình thức xử phạt bổ sung:
- 5.3 Biện pháp khắc phục hậu quả:
Cơ sở pháp lý:
Luật Ngân hàng nhà nước Việt Nam;
Luật Các tổ chức tín dụng;
Nghị định 88/2019/NĐ-CP;
Thông tư 09/2020/TT-NHNN
1. Nguyên tắc chung vềan toàn công nghệ thông tin trong hoạt động ngân hàng
- Tổ chức có trách nhiệm bảo đảm an toàn thông tin theo nguyên tắc xác định rõ quyền hạn, trách nhiệm từng bộ phận và cá nhân trong tổ chức.
- Hệ thống thông tin được phân loại theo cấp độ quy định tại Điều 5 Thông tư này và áp dụng chính sách an toàn thông tin phù hợp.
- Các rủi ro công nghệ thông tin có thể xảy ra trong tổ chức được nhận biết, phân loại, đánh giá kịp thời và xử lý có hiệu quả.
- Việc xây dựng, triển khai quy chế an toàn thông tin được thực hiện trên cơ sở các quy định tại Thông tư này và hài hòa giữa lợi ích, chi phí và cấp độ chấp nhận rủi ro của tổ chức.
2. Phân loại thông tintrong hoạt động ngân hàng
Thông tin xử lý, lưu trữ thông qua hệ thống thông tin được phân loại theo thuộc tính bí mật như sau:
- Thông tin công cộng là thông tin được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó;
- Thông tin riêng [hoặc thông tin nội bộ] là thông tin được phân quyền quản lý, khai thác cho một hoặc một nhóm đối tượng được xác định danh tính;
- Thông tin cá nhân là thông tin định danh khách hàng và các thông tin sau đây: thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch và các thông tin có liên quan khác;
- Thông tin bí mật là: [i] Thông tin Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước; [ii] Thông tin hạn chế tiếp cận theo quy định của tổ chức.
3. Phân loại hệ thống thông tintrong hoạt động ngân hàng
Được quy định tại 5 Thông tư 09/2020/TT-NHNN, cụ thể như sau:
1. Đối với hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng, các tổ chức thực hiện phân loại theo quy định tại Nghị định số85/2016/NĐ-CPngày 01/7/2016 của Chính phủ quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ. Đối với các hệ thống thông tin khác, thực hiện phân loại theo quy định tại khoản 2, 3, 4, 5, 6, 7 Điều này.
2. Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức và chỉ xử lý thông tin công cộng.
3. Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí sau:
a] Hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức, có xử lý thông tin riêng, thông tin cá nhân của người sử dụng, thông tin hạn chế tiếp cận theo quy định của tổ chức nhưng không xử lý thông tin bí mật nhà nước;
b] Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7;
c] Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một số bộ phận thuộc tổ chức hoặc của tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở.
4. Hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí sau:
a] Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Mật;
b] Hệ thống thông tin phục vụ hoạt động nội bộ hàng ngày của tổ chức và không chấp nhận ngừng vận hành quá 4 giờ làm việc kể từ thời điểm ngừng vận hành;
c] Hệ thống thông tin phục vụ khách hàng yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước;
d] Các hệ thống thanh toán sử dụng của bên thứ ba dùng để thanh toán ngoài hệ thống của tổ chức;
đ] Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của tổ chức và của ngành Ngân hàng.
5. Hệ thống thông tin cấp độ 4 là hệ thống thông tin có một trong các tiêu chí sau:
a] Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Tối Mật;
b] Hệ thống thông tin phục vụ khách hàng có xử lý, lưu trữ dữ liệu của 10 triệu khách hàng trở lên;
c] Hệ thống thông tin quốc gia trong ngành Ngân hàng, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước;
d] Các hệ thống thanh toán quan trọng trong ngành Ngân hàng theo quy định của Ngân hàng Nhà nước;
đ] Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của ngành Ngân hàng, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.
6. Hệ thống thông tin cấp độ 5 là hệ thống thông tin có một trong các tiêu chí sau:
a] Hệ thống thông tin xử lý thông tin bí mật nhà nước ở cấp độ Tuyệt Mật;
b] Hệ thống thông tin quốc gia trong ngành Ngân hàng phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế;
c] Hệ thống cơ sở hạ tầng thông tin quốc gia trong ngành Ngân hàng phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế.
7. Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với một cấp độ khác nhau, cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phần cấu thành.
8. Tổ chức thực hiện phân loại hệ thống thông tin theo cấp độ quy định tại khoản 1, 2, 3, 4, 5, 6, 7 Điều này. Hồ sơ, thủ tục thẩm định, phê duyệt hệ thống thông tin theo cấp độ tuân thủ quy định tại Nghị định số 85/2016/NĐ-CP. Đối với hồ sơ đề xuất các hệ thống thông tin cấp độ 4, 5, tổ chức gửi hồ sơ cho Ngân hàng Nhà nước [Cục Công nghệ thông tin] để lấy ý kiến.
9. Danh sách hệ thống thông tin theo cấp độ phải được lập và rà soát, cập nhật sau khi hệ thống được triển khai và định kỳ hàng năm.
4. Quy chế an toàn thông tintrong hoạt động ngân hàng
- Tổ chức xây dựng quy chế an toàn thông tin phù hợp với hệ thống thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của tổ chức. Quy chế an toàn thông tin phải được người đại diện hợp pháp ký ban hành và triển khai thực hiện trong toàn tổ chức.
- Quy chế an toàn thông tin tối thiểu gồm các nội dung cơ bản sau:
a] Quản lý tài sản công nghệ thông tin;
b] Quản lý nguồn nhân lực;
c] Bảo đảm an toàn về mặt vật lý và môi trường lắp đặt;
d] Quản lý vận hành và trao đổi thông tin;
đ] Quản lý truy cập;
e] Quản lý sử dụng dịch vụ công nghệ thông tin của bên thứ ba;
g] Quản lý tiếp nhận, phát triển, duy trì hệ thống thông tin;
h] Quản lý sự cố an toàn thông tin;
i] Bảo đảm hoạt động liên tục của hệ thống thông tin;
k] Kiểm tra nội bộ và chế độ báo cáo.
- Tổ chức rà soát quy chế an toàn thông tin tối thiểu mỗi năm một lần, bảo đảm sự đầy đủ của quy chế theo các quy định tại Thông tư này. Khi phát hiện những bất cập, bất hợp lý gây ra mất an toàn thông tin hoặc theo yêu cầu của cơ quan có thẩm quyền, tổ chức tiến hành chỉnh sửa, bổ sung ngay quy chế an toàn thông tin đã ban hành.
5. Mức phạt hành chính hành vi vi phạm quy định về an toàn công nghệ thông tin trong hoạt động ngân hàng
Được quy định tại Điều 52 Nghị định 88/2019/NĐ-CP, cụ thể mức phạt đối với các hành vi vi phạm như sau:
5.1 Hình phạt chính
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi vi phạm sau đây:
a] Không đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động trước khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba theo đúng quy định của pháp luật;
b] Không thực hiện đánh giá an ninh bảo mật hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến cho khách hàng trước khi đưa vào vận hành chính thức.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi vi phạm sau đây:
a] Không phổ biến, cập nhật các quy định về an toàn thông tin của tổ chức cho tất cả cá nhân trong tổ chức tối thiểu mỗi năm một lần;
b] Không thực hiện hoặc thực hiện không đầy đủ việc sao lưu dự phòng bảo đảm an toàn dữ liệu theo quy định của pháp luật;
c] Không triển khai các giải pháp an ninh mạng để kiểm soát các kết nối mạng, phát hiện phòng chống tấn công xâm nhập mạng cho các hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến cho khách hàng;
d] Không thực hiện xác thực khách hàng truy cập dịch vụ khi cung ứng dịch vụ ngân hàng trên Internet theo đúng quy định của pháp luật;
đ] Không hướng dẫn khách hàng thực hiện các biện pháp bảo đảm an toàn, bảo mật thông tin khi sử dụng dịch vụ ngân hàng trên Internet;
e] Không lưu trữ nhật ký về hoạt động của hệ thống thông tin và người sử dụng, các lỗi phát sinh, các sự cố an toàn thông tin theo quy định của pháp luật.
5.2 Hình thức xử phạt bổ sung:
Đình chỉ việc sử dụng dịch vụ công nghệ thông tin của bên thứ ba trong thời hạn 01 tháng đến 03 tháng đối với các hành viKhông đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động trước khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba theo đúng quy định của pháp luật;
5.3 Biện pháp khắc phục hậu quả:
Buộc thực hiện đúng quy định của pháp luật về an toàn công nghệ thông tin trong hoạt động ngân hàng.
MK LAW FIRM:Bài viết được đăng tải nhằm mục đích giáo dục, phổ biến, tuyên truyền pháp luật và chủ trương, chính sách của Đảng và Nhà nước không nhằm mục đích thương mại. Thông tin nêu trên chỉ có giá trị tham khảo vì vậy Quý khách khi đọc thông tin này cần tham khảo ý kiến luật sư, chuyên gia tư vấn trước khi áp dụng vào thực tế.]
Trên đây là nội dung Luật Minh Khuê đã sưu tầm và biên soạn. Trường hợp trong nội dung tư vấn có điều gì gây nhầm lẫn, chưa rõ ràng hoặc thông tin nêu trong nội dung tư vấn khiến quý khách chưa hiểu hết vấn đề hoặc/ và có sự vướng ngại, thắc mắc, chúng tôi rất mong nhận được ý kiến phản hồi của quý khách hàng. Mọi vướng mắc bạn vui lòng trao đổi trực tiếp với bộ phận luật sư tư vấn pháp luật trực tuyến qua tổng đài gọi số:1900.6162hoặc liên hệ văn phòng để nhận được sự tư vấn, hỗ trợ từ Luật Minh Khuê
Rất mong nhận được sự hợp tác!
Trân trọng.