Tiêu chí hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng
Hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng được quy định theo khoản 3 Điều 5 Thông tư 09/2020/TT-NHNN. Cụ thể về phân loại hệ thống thông tin như sau:
1. Đối với hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng, các tổ chức thực hiện phân loại theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ. Đối với các hệ thống thông tin khác, thực hiện phân loại theo quy định tại khoản 2, 3, 4, 5, 6, 7 Điều này.
2. Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức và chỉ xử lý thông tin công cộng.
3. Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí sau:
a) Hệ thống thông tin phục vụ hoạt động nội bộ của tổ chức, có xử lý thông tin riêng, thông tin cá nhân của người sử dụng, thông tin hạn chế tiếp cận theo quy định của tổ chức nhưng không xử lý thông tin bí mật nhà nước;
b) Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7;
c) Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một số bộ phận thuộc tổ chức hoặc của tổ chức tài chính vi mô, quỹ tín dụng nhân dân cơ sở...
Yêu cầu về an toàn, bảo mật hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng như thế nào?
Yêu cầu về an toàn, bảo mật hệ thống thông tin cấp độ 2 trong hoạt động ngân hàng được quy định theo Điều Thông tư 09/2020/TT-NHNN. Khi xây dựng mới hoặc nâng cấp hệ thống thông tin do tổ chức quản lý trực tiếp, tổ chức phải thực hiện phân loại hệ thống thông tin theo cấp độ quy định tại Điều 5 Thông tư này. Đối với hệ thống thông tin từ cấp độ 2 trở lên, tổ chức thực hiện:
1. Xây dựng tài liệu thiết kế, mô tả về các phương án bảo đảm an toàn hệ thống thông tin. Trong đó các yêu cầu về an toàn, bảo mật được xây dựng đồng thời với việc xây dựng các yêu cầu kỹ thuật, nghiệp vụ.
2. Xây dựng phương án kiểm tra, xác minh hệ thống được triển khai tuân thủ theo đúng tài liệu thiết kế và yêu cầu bảo đảm an toàn thông tin trước khi nghiệm thu. Kết quả kiểm tra phải lập thành báo cáo và được cấp có thẩm quyền phê duyệt trước khi đưa vào vận hành chính thức.
3. Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài theo quy định tại Điều 36 Thông tư này.