Quy định QyĐ-CNTT-2025-001 về việc ban hành Quy định về An toàn thông tin của Ngân hàng Thương mại Cổ phần ABC Việt Nam

Điều 1. Ban hành kèm theo Quyết định này Quy định về An toàn thông tin của Ngân hàng Thương mại Cổ phần ABC Việt Nam.

Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày 01 tháng 8 năm 2025 và thay thế các quy định trước đây của Ngân hàng Thương mại Cổ phần ABC Việt Nam liên quan đến bảo đảm an toàn thông tin mạng và bảo mật dữ liệu.

Điều 3. Các Phó Tổng Giám đốc, Giám đốc các Khối/Ban tại Hội sở, Giám đốc Chi nhánh, Trưởng các Phòng giao dịch và toàn thể cán bộ, nhân viên thuộc Ngân hàng Thương mại Cổ phần ABC Việt Nam chịu trách nhiệm thi hành Quyết định này./.

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

1. Quy định này cụ thể hóa các nguyên tắc bảo đảm an toàn thông tin được quy định tại Quy chế QC-CNTT-001, thiết lập các tiêu chuẩn, biện pháp kỹ thuật và quy trình quản lý nhằm bảo vệ hệ thống thông tin và dữ liệu của Ngân hàng Thương mại Cổ phần ABC Việt Nam.

2. Phạm vi điều chỉnh bao gồm: chính sách an toàn thông tin, quản lý truy cập, bảo mật dữ liệu, giám sát an ninh mạng, ứng phó sự cố và trách nhiệm của các đơn vị liên quan.

Điều 2. Đối tượng áp dụng

1. Quy định này áp dụng đối với tất cả các Khối, Ban, Trung tâm, Phòng, Ban nghiệp vụ tại Trụ sở chính, các Chi nhánh, Phòng giao dịch và các đơn vị trực thuộc khác của Ngân hàng Thương mại Cổ phần ABC Việt Nam.

2. Toàn thể cán bộ, nhân viên, người lao động, thực tập sinh và các đối tác, nhà cung cấp dịch vụ có kết nối, truy cập hoặc xử lý dữ liệu trên hệ thống công nghệ thông tin của Ngân hàng bắt buộc phải tuân thủ Quy định này.

Điều 3. Tài liệu tham khảo

1. Luật Các tổ chức tín dụng số 32/2024/QH15 ngày 18 tháng 01 năm 2024.

2. Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015.

3. Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

4. Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP.

5. Điều lệ Ngân hàng Thương mại Cổ phần ABC Việt Nam.

6. Quy chế Quản lý hoạt động Công nghệ thông tin mã số QC-CNTT-2025-001.

7. Quy chế về hệ thống kiểm soát nội bộ của Ngân hàng Thương mại Cổ phần ABC Việt Nam.

Điều 4. Giải thích từ ngữ và viết tắt

1. Trong Quy định này, các từ ngữ dưới đây được hiểu như sau:

a) An toàn thông tin mạng: Là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

b) Sự cố an toàn thông tin: Là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng.

c) Dữ liệu cá nhân: Là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

d) Mã hóa dữ liệu: Là quá trình chuyển đổi thông tin từ định dạng có thể đọc được sang định dạng bị xáo trộn theo một thuật toán nhất định, chỉ những người có khóa giải mã mới có thể đọc được.

đ) Xác thực đa yếu tố: Là phương pháp kiểm soát truy cập yêu cầu người dùng cung cấp từ hai bằng chứng xác thực trở lên (mật khẩu, mã OTP, sinh trắc học) để chứng minh danh tính.

e) Lỗ hổng bảo mật: Là điểm yếu trong thiết kế, triển khai, vận hành hoặc quản lý nội bộ của một hệ thống thông tin mà kẻ tấn công có thể lợi dụng để xâm nhập.

g) Phần mềm độc hại: Là phần mềm máy tính được tạo ra với mục đích gây hại cho máy tính, máy chủ, máy khách hoặc mạng máy tính.

h) Nhật ký hệ thống: Là các tập tin ghi lại toàn bộ các sự kiện, giao dịch, lỗi hoặc hành vi truy cập xảy ra trên hệ điều hành, cơ sở dữ liệu hoặc phần mềm ứng dụng.

2. Bảng chữ viết tắt sử dụng trong Quy định này:

a) Ngân hàng: Ngân hàng Thương mại Cổ phần ABC Việt Nam.

b) CNTT: Công nghệ thông tin.

c) ATTT: An toàn thông tin.

d) TGĐ: Tổng Giám đốc.

đ) KQLRR: Khối Quản lý Rủi ro.

e) BPCT: Ban Pháp chế và Tuân thủ.

g) TTDL: Trung tâm dữ liệu.

h) SOC: Trung tâm điều hành an toàn thông tin (Security Operations Center).

i) LAN: Mạng nội bộ (Local Area Network).

k) WAN: Mạng diện rộng (Wide Area Networ.

l) VPN: Mạng riêng ảo (Virtual Private Network).

m) MFA: Xác thực đa yếu tố (Multi-Factor Authentication).

Điều 5. Nguyên tắc chung về an toàn thông tin

1. Việc bảo đảm ATTT phải tuân thủ các nguyên tắc quy định tại Điều 5 Quy chế QC-CNTT-001 và các quy định của pháp luật hiện hành.

2. Áp dụng nguyên tắc "Đặc quyền tối thiểu" (Least Privilege): Người dùng, chương trình và hệ thống chỉ được cấp các quyền truy cập ở mức độ thấp nhất cần thiết để thực hiện chức năng, nhiệm vụ được giao.

3. Áp dụng nguyên tắc "Phòng thủ chiều sâu" (Defense in Depth): Triển khai nhiều lớp bảo mật kỹ thuật và quản lý đan xen nhau để bảo vệ tài sản thông tin, bảo đảm nếu một lớp bị vượt qua, các lớp khác vẫn phát huy tác dụng.

4. Mọi hành vi truy cập, thay đổi cấu hình, xử lý dữ liệu trên hệ thống CNTT phải được định danh duy nhất và ghi nhận đầy đủ vào nhật ký hệ thống để phục vụ công tác kiểm toán và điều tra sự cố.

Chương II

CHÍNH SÁCH AN TOÀN THÔNG TIN

Điều 6. Phân loại và xử lý tài sản thông tin

1. Cụ thể hóa Điều 15 Quy chế QC-CNTT-001, tài sản thông tin của Ngân hàng được phân loại và quản lý theo 04 cấp độ:

a) Tuyệt mật: Bao gồm mã khóa mã hóa hệ thống lõi, mật khẩu quản trị cấp cao nhất, chiến lược kinh doanh chưa công bố. Dữ liệu này phải được lưu trữ trong môi trường cô lập, mã hóa bằng thuật toán AES-256 trở lên và yêu cầu phê duyệt của TGĐ khi truy cập.

b) Tối mật: Bao gồm toàn bộ cơ sở dữ liệu khách hàng, thông tin thẻ tín dụng, mã nguồn phần mềm nội bộ. Dữ liệu phải được mã hóa khi lưu trữ và truyền tải, cấm sao chép ra thiết bị ngoại vi.

c) Mật: Bao gồm báo cáo tài chính nội bộ, hồ sơ nhân sự, quy trình nghiệp vụ nội bộ. Dữ liệu chỉ được chia sẻ trong nội bộ Ngân hàng theo nguyên tắc cần biết.

d) Phổ biến nội bộ: Bao gồm các thông báo chung, tài liệu đào tạo cơ bản. Dữ liệu được phép truy cập bởi toàn bộ nhân viên nhưng không được phát tán ra bên ngoài.

2. Khối CNTT có trách nhiệm triển khai hệ thống chống thất thoát dữ liệu (DLP) để tự động nhận diện, gắn nhãn và ngăn chặn việc rò rỉ các dữ liệu thuộc cấp độ Mật trở lên qua email, web hoặc thiết bị ngoại vi.

Điều 7. Tiêu chuẩn an toàn thiết bị đầu cuối

1. 100% máy tính trạm, máy tính xách tay cấp cho nhân viên phải được gia nhập miền (Domain) của Ngân hàng, cài đặt phần mềm diệt virus quản lý tập trung và cập nhật mẫu nhận diện mã độc tối thiểu 01 lần/ngày.

2. Tính năng khóa màn hình tự động phải được kích hoạt trên tất cả thiết bị đầu cuối với thời gian chờ tối đa không quá 10 phút không có thao tác.

3. Cấm tuyệt đối việc tự ý cài đặt các phần mềm không có bản quyền, phần mềm chia sẻ tệp tin ngang hàng (P2P) hoặc các công cụ dò quét mạng trên thiết bị của Ngân hàng.

Chương III

QUẢN LÝ TRUY CẬP VÀ XÁC THỰC

Điều 8. Cấp phát, thay đổi và thu hồi quyền truy cập

1. Việc cấp mới hoặc thay đổi quyền truy cập hệ thống phải được thực hiện thông qua hệ thống quản lý yêu cầu nội bộ, có sự phê duyệt của Trưởng đơn vị quản lý nhân sự và Trưởng đơn vị chủ quản hệ thống.

2. Khối CNTT phải thực hiện cấp phát quyền trong vòng 24 giờ làm việc kể từ khi nhận được yêu cầu hợp lệ đã được phê duyệt đầy đủ.

3. Khi có quyết định chấm dứt hợp đồng lao động, đình chỉ công tác hoặc chuyển vị trí, Khối CNTT phải thực hiện vô hiệu hóa toàn bộ tài khoản truy cập của nhân sự đó trong vòng 04 giờ kể từ khi nhận được thông báo từ Khối Tổ chức nhân sự.

4. Định kỳ 06 tháng/lần, Khối CNTT phối hợp với các đơn vị nghiệp vụ rà soát toàn bộ danh sách tài khoản và quyền truy cập trên các hệ thống quan trọng để loại bỏ các quyền dư thừa.

Điều 9. Quản lý mật khẩu và xác thực đa yếu tố

1. Mật khẩu truy cập miền (Domain) và các hệ thống nghiệp vụ phải tuân thủ các tiêu chuẩn sau:

a) Độ dài tối thiểu 12 ký tự.

b) Bao gồm ít nhất 03 trong 04 loại ký tự: chữ hoa, chữ thường, số và ký tự đặc biệt.

c) Không được trùng với 05 mật khẩu đã sử dụng gần nhất.

d) Bắt buộc thay đổi định kỳ tối đa 90 ngày/lần.

2. Hệ thống phải tự động khóa tài khoản trong thời gian tối thiểu 30 phút nếu người dùng nhập sai mật khẩu liên tiếp 05 lần.

3. Bắt buộc áp dụng MFA đối với các trường hợp: truy cập hệ thống từ xa qua VPN, truy cập vào các hệ thống quản trị máy chủ, thiết bị mạng và truy cập vào hệ thống lõi ngân hàng của các tài khoản có quyền phê duyệt giao dịch.

Điều 10. Quản lý truy cập từ xa

1. Việc truy cập từ xa vào mạng LAN của Ngân hàng chỉ được thực hiện thông qua hệ thống VPN do Khối CNTT cung cấp và quản lý.

2. Thiết bị sử dụng để kết nối VPN phải là thiết bị do Ngân hàng cấp phát, tuân thủ đầy đủ các tiêu chuẩn an toàn tại Điều 7 Quy định này. Cấm sử dụng thiết bị cá nhân để kết nối VPN vào mạng nội bộ.

3. Phiên kết nối VPN sẽ tự động ngắt nếu không có dữ liệu truyền tải trong vòng 30 phút hoặc tổng thời gian kết nối vượt quá 12 giờ liên tục.

Chương IV

BẢO MẬT DỮ LIỆU VÀ MÃ HÓA

Điều 11. Tiêu chuẩn mã hóa dữ liệu

1. Theo quy định tại Điều 17 Quy chế QC-CNTT-001, dữ liệu ở trạng thái lưu trữ (Data at rest) thuộc cấp độ Tối mật và Tuyệt mật phải được mã hóa bằng thuật toán AES với độ dài khóa tối thiểu 256-bit hoặc các thuật toán tương đương được quốc tế công nhận.

2. Dữ liệu ở trạng thái truyền tải (Data in transit) qua mạng WAN hoặc Internet phải được mã hóa bằng giao thức TLS phiên bản 1.2 trở lên. Cấm sử dụng các giao thức truyền tải bản rõ như Telnet, FTP, HTTP đối với các hệ thống có xác thực.

3. Mật khẩu người dùng lưu trữ trong cơ sở dữ liệu phải được băm (Hash) bằng thuật toán SHA-256 trở lên kết hợp với chuỗi ngẫu nhiên (Salt), tuyệt đối không lưu trữ mật khẩu dưới dạng bản rõ.

Điều 12. Sao lưu và phục hồi dữ liệu

1. Khối CNTT phải xây dựng lịch trình sao lưu tự động hàng ngày đối với toàn bộ cơ sở dữ liệu nghiệp vụ và cấu hình hệ thống quan trọng.

2. Bản sao lưu phải được lưu trữ tại TTDL dự phòng và tối thiểu 01 bản sao lưu ngoại tuyến (Offline backup) không kết nối trực tiếp với mạng LAN để phòng chống mã độc tống tiền (Ransomware).

3. Thời gian lưu trữ dữ liệu sao lưu được quy định như sau:

a) Nhật ký hệ thống (Log): Tối thiểu 06 tháng trực tuyến và 12 tháng ngoại tuyến.

b) Dữ liệu giao dịch tài chính: Tối thiểu 10 năm theo quy định của Luật Kế toán.

c) Dữ liệu camera giám sát tại TTDL: Tối thiểu 90 ngày.

4. Định kỳ hàng quý, Khối CNTT phải thực hiện kiểm tra tính toàn vẹn của các bản sao lưu và diễn tập phục hồi dữ liệu ngẫu nhiên để bảo đảm khả năng khôi phục thành công.

Điều 13. Xóa và tiêu hủy dữ liệu

1. Khi thanh lý, điều chuyển hoặc sửa chữa các thiết bị lưu trữ (ổ cứng, máy chủ, máy tính xách tay), dữ liệu trên thiết bị phải được xóa vĩnh viễn bằng các công cụ chuyên dụng ghi đè dữ liệu tối thiểu 03 lần (chuẩn DoD 5220.22-M).

2. Đối với các thiết bị lưu trữ chứa dữ liệu cấp độ Tối mật trở lên bị hỏng không thể xóa bằng phần mềm, phải tiến hành tiêu hủy vật lý (nghiền nát, khoan thủng) dưới sự giám sát của đại diện Khối CNTT và KQLRR, có lập biên bản ghi nhận.

Chương V

GIÁM SÁT AN NINH MẠNG VÀ ỨNG PHÓ SỰ CỐ

Điều 14. Giám sát an ninh mạng liên tục

1. SOC của Ngân hàng phải hoạt động liên tục 24 giờ/ngày, 07 ngày/tuần để thu thập, phân tích nhật ký hệ thống từ các thiết bị mạng, máy chủ, cơ sở dữ liệu và ứng dụng.

2. Hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) phải được cấu hình các tập luật (Rules) cảnh báo tự động đối với các hành vi bất thường như: đăng nhập sai nhiều lần, truy cập ngoài giờ hành chính, tải xuống lượng lớn dữ liệu, kết nối đến các địa chỉ IP độc hại.

3. Nhật ký hệ thống tập trung tại SOC phải được bảo vệ chống sửa đổi, xóa bỏ trái phép và phân quyền truy cập nghiêm ngặt chỉ dành cho nhân sự chuyên trách ATTT.

Điều 15. Quy trình ứng phó sự cố an toàn thông tin

1. Cụ thể hóa Điều 18 Quy chế QC-CNTT-001, sự cố ATTT được phân loại thành 04 mức độ: Nghiêm trọng (ảnh hưởng toàn hệ thống), Cao (ảnh hưởng một phần hệ thống lõi), Trung bình (ảnh hưởng dịch vụ nội bộ), Thấp (ảnh hưởng máy tính cá nhân).

2. Khi phát hiện sự cố mức độ Cao và Nghiêm trọng (như tấn công Ransomware, rò rỉ dữ liệu khách hàng), Đội ứng cứu sự cố phải thực hiện các bước sau:

a) Cô lập hệ thống hoặc phân vùng mạng bị ảnh hưởng trong vòng 30 phút kể từ khi xác nhận sự cố để ngăn chặn lây lan.

b) Thu thập bằng chứng số (RAM dump, disk image) trước khi tiến hành khởi động lại hoặc khôi phục hệ thống.

c) Báo cáo khẩn cấp cho TGĐ và Cục An toàn thông tin (Bộ Thông tin và Truyền thông) theo quy định tại Điều 9 Thông tư số 12/2022/TT-BTTTT.

3. Trong vòng 05 ngày làm việc sau khi khắc phục xong sự cố, Khối CNTT phải lập báo cáo phân tích nguyên nhân gốc rễ (Root Cause Analysis) và đề xuất các biện pháp phòng ngừa tái diễn trình TGĐ.

Điều 16. Đánh giá lỗ hổng và kiểm tra xâm nhập

1. Khối CNTT phải thực hiện dò quét lỗ hổng bảo mật (Vulnerability Scanning) tự động định kỳ hàng tháng đối với toàn bộ máy chủ và thiết bị mạng.

2. Đối với các hệ thống cung cấp dịch vụ ra Internet (Internet Banking, Mobile Banking, Website), phải thực hiện kiểm tra đánh giá xâm nhập (Penetration Testing) bởi một đơn vị độc lập có năng lực tối thiểu 01 lần/năm hoặc ngay sau khi có thay đổi lớn về kiến trúc, tính năng.

3. Các lỗ hổng phát hiện phải được phân loại mức độ rủi ro và khắc phục theo thời hạn: Lỗ hổng mức Nghiêm trọng (trong 03 ngày), mức Cao (trong 07 ngày), mức Trung bình (trong 30 ngày).

Chương VI

TRÁCH NHIỆM CỦA CÁC ĐƠN VỊ

Điều 17. Trách nhiệm của Khối Công nghệ thông tin

1. Trực tiếp triển khai, quản trị và duy trì hoạt động của các hệ thống bảo mật kỹ thuật (Tường lửa, IPS, DLP, SIEM, Antivirus) theo đúng Quy định này.

2. Tổ chức vận hành SOC, tiếp nhận và xử lý các cảnh báo an ninh mạng 24/7; làm đầu mối điều phối Đội ứng cứu sự cố ATTT của Ngân hàng.

3. Quản lý vòng đời tài khoản người dùng, thực hiện cấp phát, thu hồi quyền truy cập bảo đảm nguyên tắc đặc quyền tối thiểu.

4. Tổ chức đào tạo, nâng cao nhận thức về ATTT cho toàn thể cán bộ, nhân viên Ngân hàng định kỳ tối thiểu 01 lần/năm.

Điều 18. Trách nhiệm của Khối Quản lý Rủi ro

1. Thực hiện giám sát độc lập việc tuân thủ Quy định này của Khối CNTT và các đơn vị nghiệp vụ.

2. Đánh giá rủi ro ATTT đối với các dự án công nghệ mới, các đối tác cung cấp dịch vụ thuê ngoài trước khi Ngân hàng ký kết hợp đồng.

3. Tham gia điều tra các sự cố ATTT nghiêm trọng, đánh giá mức độ thiệt hại và báo cáo rủi ro hoạt động lên Ban Điều hành.

Điều 19. Trách nhiệm của Ban Pháp chế và Tuân thủ

1. Cập nhật các quy định pháp luật mới nhất về an ninh mạng, bảo vệ dữ liệu cá nhân để tham mưu điều chỉnh chính sách nội bộ kịp thời.

2. Rà soát, thẩm định các điều khoản về bảo mật thông tin, cam kết mức độ dịch vụ (SLA) trong các hợp đồng mua sắm thiết bị, phần mềm và dịch vụ CNTT.

3. Hỗ trợ Khối CNTT trong việc báo cáo sự cố cho các cơ quan quản lý nhà nước có thẩm quyền theo đúng quy định của pháp luật.

Điều 20. Trách nhiệm của người dùng cuối (Cán bộ, nhân viên)

1. Bảo mật tuyệt đối tài khoản và mật khẩu được cấp phát; không chia sẻ mật khẩu cho bất kỳ ai, kể cả nhân viên hỗ trợ CNTT.

2. Khóa màn hình máy tính (Windows + L) mỗi khi rời khỏi vị trí làm việc.

3. Không click vào các đường dẫn lạ, không mở các tệp đính kèm từ email không rõ nguồn gốc; báo cáo ngay cho Khối CNTT qua Helpdesk khi nhận được email có dấu hiệu lừa đảo (Phishing).

4. Không tự ý cắm các thiết bị lưu trữ cá nhân (USB, ổ cứng ngoài) vào máy tính của Ngân hàng khi chưa được phê duyệt.

Chương VII

ĐIỀU KHOẢN THI HÀNH

Điều 21. Xử lý vi phạm

1. Mọi cá nhân, tổ chức vi phạm các điều khoản tại Quy định này, tùy theo tính chất, mức độ vi phạm và hậu quả gây ra, sẽ bị xử lý kỷ luật lao động theo Nội quy lao động của Ngân hàng.

2. Trường hợp vi phạm gây thất thoát tài sản, rò rỉ dữ liệu khách hàng hoặc ảnh hưởng nghiêm trọng đến uy tín của Ngân hàng, cá nhân vi phạm phải bồi thường thiệt hại và có thể bị chuyển hồ sơ sang cơ quan điều tra để xử lý theo quy định của pháp luật hình sự.

Điều 22. Hiệu lực thi hành

1. Quy định này có hiệu lực thi hành kể từ ngày 01 tháng 8 năm 2025.

2. Trong quá trình thực hiện, nếu có vướng mắc hoặc cần sửa đổi, bổ sung, các đơn vị phản ánh về Khối Công nghệ thông tin để tổng hợp, trình Tổng Giám đốc xem xét, quyết định./-