Compare legal documents side by side with citations, lifecycle links, and section alignment.

• Điều 6. Quản lý tài sản công nghệ thông tin
• 1. Các loại tài sản công nghệ thông tin bao gồm:
• a) Tài sản thông tin: các dữ liệu, thông tin ở dạng số được xử lý, lưu trữ thông qua hệ thống thông tin;

• Các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống công nghệ thông tin phù hợp với hệ thống công nghệ thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của đơn vị.
• Quy chế an toàn, bảo mật hệ thống công nghệ thông tin phải được thủ trưởng đơn vị (hoặc người đại diện hợp pháp) ký ban hành, tổ chức thực hiện, triển khai trong toàn đơn vị.
• 2. Quy chế an toàn, bảo mật hệ thống công nghệ thông tin quy định về các nội dung cơ bản sau:

• a) Tài sản thông tin: các dữ liệu, thông tin ở dạng số được xử lý, lưu trữ thông qua hệ thống thông tin;
• b) Tài sản vật lý: các thiết bị công nghệ thông tin, phương tiện truyền thông, vật mang tin và các thiết bị phục vụ cho hoạt động của hệ thống thông tin;
• c) Tài sản phần mềm: các phần mềm hệ thống, phần mềm tiện ích, phần mềm lớp giữa, cơ sở dữ liệu, chương trình ứng dụng, mã nguồn và công cụ phát triển.

• Left: Điều 6. Quản lý tài sản công nghệ thông tin Right: h) Quản lý sự cố công nghệ thông tin;
• Left: 1. Các loại tài sản công nghệ thông tin bao gồm: Right: e) Quản lý dịch vụ công nghệ thông tin của bên thứ ba;
• Left: Định kỳ hàng năm rà soát và cập nhật danh sách tài sản công nghệ thông tin. Right: Điều 4. Quy chế an toàn, bảo mật hệ thống công nghệ thông tin

Điều 4. Quy chế an toàn, bảo mật hệ thống công nghệ thông tin 1. Các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống công nghệ thông tin phù hợp với hệ thống công nghệ thông tin, cơ cấu tổ chức, yêu cầu quản lý...

• Điều 8. Quản lý tài sản vật lý
• Với mỗi hệ thống thông tin do tổ chức trực tiếp quản lý phải lập danh sách tài sản vật lý gồm các thông tin cơ bản sau:
• tên tài sản, giá trị, vị trí lắp đặt, chủ thể quản lý, mục đích sử dụng, tình trạng sử dụng, hệ thống thông tin tương ứng.

• Đơn vị có trách nhiệm:
• 1. Kiểm soát việc đấu nối, gỡ bỏ vật mang tin với thiết bị thuộc hệ thống công nghệ thông tin.
• 2. Triển khai các biện pháp bảo đảm an toàn vật mang tin khi vận chuyển, lưu trữ.

• Với mỗi hệ thống thông tin do tổ chức trực tiếp quản lý phải lập danh sách tài sản vật lý gồm các thông tin cơ bản sau:
• tên tài sản, giá trị, vị trí lắp đặt, chủ thể quản lý, mục đích sử dụng, tình trạng sử dụng, hệ thống thông tin tương ứng.
• 3. Tài sản vật lý khi mang ra khỏi trụ sở của tổ chức phải được sự phê duyệt của cấp có thẩm quyền và phải thực hiện biện pháp bảo vệ để bảo mật thông tin lưu trữ trên tài sản nếu tài sản đó có chứ...

• Left: Điều 8. Quản lý tài sản vật lý Right: Điều 10. Quản lý sử dụng vật mang tin
• Left: 2. Tài sản vật lý phải được giao, gán trách nhiệm cho cá nhân hoặc bộ phận quản lý, sử dụng. Right: 5. Quy định trách nhiệm của cá nhân trong quản lý, sử dụng vật mang tin.
• Left: 4.Tài sản vật lý có lưu trữ thông tin bí mật khi thay đổi mục đích sử dụng hoặc thanh lý phải được thực hiện các biện pháp tiêu hủy hoặc xóa thông tin bí mật đó bảo đảm không có khả năng phục hồi. Right: 4. Khi không sử dụng được hoặc sử dụng vật mang tin chứa dữ liệu nhạy cảm cho mục đích khác phải thực hiện xóa, tiêu hủy dữ liệu lưu trữ đảm bảo không có khả năng phục hồi.

Điều 10. Quản lý sử dụng vật mang tin Đơn vị có trách nhiệm: 1. Kiểm soát việc đấu nối, gỡ bỏ vật mang tin với thiết bị thuộc hệ thống công nghệ thông tin. 2. Triển khai các biện pháp bảo đảm an toàn vật mang tin khi...

• Điều 9. Quản lý tài sản phần mềm
• Với mỗi hệ thống thông tin phải lập danh sách tài sản phần mềm với các thông tin cơ bản gồm:
• tên tài sản, giá trị, mục đích sử dụng, phạm vi sử dụng, chủ thể quản lý, thông tin về bản quyền, phiên bản, hệ thống thông tin tương ứng.

• Điều 11. Tuyển dụng hoặc phân công nhiệm vụ
• 1. Xác định trách nhiệm trong việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin của vị trí cần tuyển dụng hoặc phân công.
• Khi tuyển dụng, phân công người làm việc tại các vị trí quan trọng của hệ thống công nghệ thông tin như quản trị hệ thống, quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị cơ sở dữ li...

• Điều 9. Quản lý tài sản phần mềm
• Với mỗi hệ thống thông tin phải lập danh sách tài sản phần mềm với các thông tin cơ bản gồm:
• tên tài sản, giá trị, mục đích sử dụng, phạm vi sử dụng, chủ thể quản lý, thông tin về bản quyền, phiên bản, hệ thống thông tin tương ứng.

Điều 11. Tuyển dụng hoặc phân công nhiệm vụ 1. Xác định trách nhiệm trong việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin của vị trí cần tuyển dụng hoặc phân công. 2. Khi tuyển dụng, phân công người làm việ...

• Điều 12. Tổ chức nguồn nhân lực
• 1. Người đại diện hợp pháp phải trực tiếp tham gia chỉ đạo và có trách nhiệm trong công tác xây dựng chiến lược, kế hoạch về bảo đảm an toàn thông tin, ứng cứu các sự cố an ninh mạng xảy ra tại tổ...
• 2. Tổ chức quản lý trực tiếp hệ thống thông tin mức độ 2 trở lên thực hiện:

• Điều 46. Chế độ báo cáo
• Đơn vị (trừ Ngân hàng Nhà nước) có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước (Cục Công nghệ tin học) bằng văn bản tiếng Việt như sau:
• 1. Báo cáo năm

• Điều 12. Tổ chức nguồn nhân lực
• 1. Người đại diện hợp pháp phải trực tiếp tham gia chỉ đạo và có trách nhiệm trong công tác xây dựng chiến lược, kế hoạch về bảo đảm an toàn thông tin, ứng cứu các sự cố an ninh mạng xảy ra tại tổ...
• 2. Tổ chức quản lý trực tiếp hệ thống thông tin mức độ 2 trở lên thực hiện:

• Left: (ii) Phát triển với vận hành hệ thống thông tin Right: a) Các sự cố mất an toàn hệ thống công nghệ thông tin:

Điều 46. Chế độ báo cáo Đơn vị (trừ Ngân hàng Nhà nước) có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước (Cục Công nghệ tin học) bằng văn bản tiếng Việt như sau: 1. Báo cáo năm a. Nội dung báo cáo: - Việc thực hiện đả...

• Điều 17. Yêu cầu đối với trung tâm dữ liệu
• Ngoài việc bảo đảm yêu cầu tại Điều 16 Thông tư này, Trung tâm dữ liệu phải bảo đảm các yêu cầu sau:
• 1. Cổng vào ra tòa nhà trung tâm dữ liệu phải có người kiểm soát 24/7.

• Điều 16. An toàn, bảo mật tài sản vật lý
• 1. Tài sản vật lý phải được bố trí, lắp đặt tại các địa điểm an toàn và được bảo vệ để giảm thiểu những rủi ro do các đe dọa, hiểm họa từ môi trường và các xâm nhập trái phép.
• 2. Tài sản vật lý thuộc hệ thống công nghệ thông tin quan trọng phải được bảo đảm về nguồn điện và các hệ thống hỗ trợ khi nguồn điện chính bị gián đoạn. Phải có biện pháp chống quá tải hay sụt giả...

• Điều 17. Yêu cầu đối với trung tâm dữ liệu
• Ngoài việc bảo đảm yêu cầu tại Điều 16 Thông tư này, Trung tâm dữ liệu phải bảo đảm các yêu cầu sau:
• 1. Cổng vào ra tòa nhà trung tâm dữ liệu phải có người kiểm soát 24/7.

• Left: Nguồn điện phải đấu nối qua hệ thống lưu điện để cấp nguồn cho thiết bị, bảo đảm khả năng duy trì hoạt động liên tục của hệ thống thông tin. Right: có hệ thống máy phát điện dự phòng và hệ thống lưu điện đảm bảo thiết bị hoạt động liên tục.
• Left: 6. Có hệ thống chống sét trực tiếp và lan truyền. Right: có hệ thống tiếp đất

Điều 16. An toàn, bảo mật tài sản vật lý 1. Tài sản vật lý phải được bố trí, lắp đặt tại các địa điểm an toàn và được bảo vệ để giảm thiểu những rủi ro do các đe dọa, hiểm họa từ môi trường và các xâm nhập trái phép....

• Điều 32. Các yêu cầu khi sử dụng dịch vụ của bên thứ ba
• Trước khi sử dụng dịch vụ của bên thứ ba, tổ chức thực hiện:
• 1. Đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động tối thiểu bao gồm các nội dung sau:

• Điều 33. Yêu cầu về an toàn, bảo mật cho các hệ thống công nghệ thông tin
• Khi xây dựng mới hoặc cải tiến hệ thống công nghệ thông tin, đơn vị phải:
• 1. Xây dựng các yêu cầu về an toàn, bảo mật đồng thời với việc đưa ra các yêu cầu kỹ thuật, nghiệp vụ.

• Điều 32. Các yêu cầu khi sử dụng dịch vụ của bên thứ ba
• Trước khi sử dụng dịch vụ của bên thứ ba, tổ chức thực hiện:
• 1. Đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động tối thiểu bao gồm các nội dung sau:

Điều 33. Yêu cầu về an toàn, bảo mật cho các hệ thống công nghệ thông tin Khi xây dựng mới hoặc cải tiến hệ thống công nghệ thông tin, đơn vị phải: 1. Xây dựng các yêu cầu về an toàn, bảo mật đồng thời với việc đưa ra...

• Điều 35. Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên thứ ba
• 1. Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định về an toàn thông tin của tổ chức.
• Có quy trình và bố trí nguồn lực để giám sát, kiểm soát các dịch vụ do bên thứ ba cung cấp bảo đảm chất lượng dịch vụ theo thỏa thuận đã ký kết.

• Điều 40. Quy trình xử lý sự cố
• 1. Tiếp nhận thông tin về sự cố phát sinh.
• 2. Đánh giá xác định mức độ, phạm vi ảnh hưởng của sự cố đến hoạt động của hệ thống công nghệ thông tin. Tùy theo mức độ, phạm vi ảnh hưởng của sự cố phải báo cáo đến các cấp quản lý tương ứng để c...

• Điều 35. Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên thứ ba
• 1. Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định về an toàn thông tin của tổ chức.
• Có quy trình và bố trí nguồn lực để giám sát, kiểm soát các dịch vụ do bên thứ ba cung cấp bảo đảm chất lượng dịch vụ theo thỏa thuận đã ký kết.

Điều 40. Quy trình xử lý sự cố 1. Tiếp nhận thông tin về sự cố phát sinh. 2. Đánh giá xác định mức độ, phạm vi ảnh hưởng của sự cố đến hoạt động của hệ thống công nghệ thông tin. Tùy theo mức độ, phạm vi ảnh hưởng của...

• Điều 36. Yêu cầu về an toàn, bảo mật các hệ thống thông tin
• Khi xây dựng mới hoặc nâng cấp hệ thống thông tin do tổ chức quản lý trực tiếp, tổ chức phải thực hiện phân loại hệ thống thông tin theo mức độ quan trọng quy định tại khoản 2 Điều 4 Thông tư này.
• Đối với hệ thống thông tin từ mức độ 2 trở lên, tổ chức thực hiện:

• Điều 35. Quản lý mã hóa
• 1. Quy định và đưa vào sử dụng các biện pháp mã hóa theo các chuẩn quốc gia hoặc quốc tế đã được công nhận, có biện pháp quản lý khóa để bảo vệ thông tin của đơn vị. Sử dụng các giải thuật mã hóa như:
• a. AES: Advanced Encryption Standard;

• Điều 36. Yêu cầu về an toàn, bảo mật các hệ thống thông tin
• Khi xây dựng mới hoặc nâng cấp hệ thống thông tin do tổ chức quản lý trực tiếp, tổ chức phải thực hiện phân loại hệ thống thông tin theo mức độ quan trọng quy định tại khoản 2 Điều 4 Thông tư này.
• Đối với hệ thống thông tin từ mức độ 2 trở lên, tổ chức thực hiện:

Điều 35. Quản lý mã hóa 1. Quy định và đưa vào sử dụng các biện pháp mã hóa theo các chuẩn quốc gia hoặc quốc tế đã được công nhận, có biện pháp quản lý khóa để bảo vệ thông tin của đơn vị. Sử dụng các giải thuật mã h...

• Điều 51. Tổ chức triển khai bảo đảm hoạt động liên tục
• 1. Tổ chức phải có kế hoạch và tổ chức triển khai bảo đảm hoạt động liên tục hệ thống thông tin theo các yêu cầu sau:
• a) Tối thiểu sáu tháng một lần, tiến hành kiểm tra, đánh giá hoạt động của hệ thống dự phòng;

• Điều 48. Hiệu lực thi hành
• Thông tư này có hiệu lực thi hành kể từ ngày 01/03/2016 và thay thế Thông tư 01/2011/TT-NHNN ngày 21/02/2011 của Thống đốc Ngân hàng Nhà nước Việt Nam về việc ban hành Quy định việc đảm bảo an toàn...
• 2. Trong quá trình thực hiện nếu có vấn đề phát sinh, vướng mắc, các đơn vị phản ánh kịp thời về Ngân hàng Nhà nước để xem xét, bổ sung, sửa đổi.

• Điều 51. Tổ chức triển khai bảo đảm hoạt động liên tục
• 1. Tổ chức phải có kế hoạch và tổ chức triển khai bảo đảm hoạt động liên tục hệ thống thông tin theo các yêu cầu sau:
• a) Tối thiểu sáu tháng một lần, tiến hành kiểm tra, đánh giá hoạt động của hệ thống dự phòng;

Điều 48. Hiệu lực thi hành 1. Thông tư này có hiệu lực thi hành kể từ ngày 01/03/2016 và thay thế Thông tư 01/2011/TT-NHNN ngày 21/02/2011 của Thống đốc Ngân hàng Nhà nước Việt Nam về việc ban hành Quy định việc đảm b...

• Điều 53. Chế độ báo cáo
• Tổ chức có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước (Cục Công nghệ thông tin) các nội dung sau:
• 1. Báo cáo sự cố an ninh mạng trong vòng 24 giờ kể từ thời điểm sự cố được phát hiện và 05 ngày làm việc sau khi hoàn thành khắc phục sự cố theo Phụ lục kèm theo Thông tư này về địa chỉ thư điện tử...

• Điều 32. Trách nhiệm của bên thứ ba khi cung cấp dịch vụ công nghệ thông tin
• 1. Ký và thực hiện cam kết bảo mật thông tin cả trong quá trình triển khai và sau khi hoàn tất hợp đồng.
• Lập kế hoạch, bố trí nhân sự và các nguồn lực khác để thực hiện hợp đồng.

• Điều 53. Chế độ báo cáo
• Tổ chức có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước (Cục Công nghệ thông tin) các nội dung sau:
• 1. Báo cáo sự cố an ninh mạng trong vòng 24 giờ kể từ thời điểm sự cố được phát hiện và 05 ngày làm việc sau khi hoàn thành khắc phục sự cố theo Phụ lục kèm theo Thông tư này về địa chỉ thư điện tử...

Điều 32. Trách nhiệm của bên thứ ba khi cung cấp dịch vụ công nghệ thông tin 1. Ký và thực hiện cam kết bảo mật thông tin cả trong quá trình triển khai và sau khi hoàn tất hợp đồng. 2. Lập kế hoạch, bố trí nhân sự và...

• Điều 55. Hiệu lực thi hành và tổ chức thực hiện
• Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2019 trừ trường hợp quy định tại khoản 2 Điều này và thay thế Thông tư 31/2015/TT-NHNN ngày 28 tháng 12 năm 2015 của Thống đốc Ngân hàng...
• 2. Điểm b khoản 2 Điều 12 có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2020.

• Điều 12. Quản lý sử dụng nguồn nhân lực
• Đơn vị có trách nhiệm thực hiện:
• 1. Phổ biến và cập nhật các quy định về an toàn, bảo mật hệ thống công nghệ thông tin cho tất cả cán bộ, nhân viên.

• Điều 55. Hiệu lực thi hành và tổ chức thực hiện
• Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2019 trừ trường hợp quy định tại khoản 2 Điều này và thay thế Thông tư 31/2015/TT-NHNN ngày 28 tháng 12 năm 2015 của Thống đốc Ngân hàng...
• 2. Điểm b khoản 2 Điều 12 có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2020.

Điều 12. Quản lý sử dụng nguồn nhân lực Đơn vị có trách nhiệm thực hiện: 1. Phổ biến và cập nhật các quy định về an toàn, bảo mật hệ thống công nghệ thông tin cho tất cả cán bộ, nhân viên. 2. Kiểm tra việc thi hành cá...