Mục 16
VI PHẠM QUY ĐỊNH VỀ AN TOÀN CÔNG NGHỆ THÔNG TIN
TRONG HOẠT ĐỘNG NGÂN HÀNG
Điều 61. Vi phạm quy định về an toàn công nghệ thông tin trong hoạt động ngân hàng
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi vi phạm sau đây:
a) Không đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động trước khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba theo đúng quy định của pháp luật;
b) Không thực hiện kiểm tra, đánh giá an toàn thông tin hoặc kiểm tra, đánh giá an toàn thông tin không đúng quy định của pháp luật đối với hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng trước khi đưa vào vận hành chính thức;
c) Không thực hiện kiểm tra, đánh giá an toàn thông tin định kỳ hàng năm đối với hệ thống thông tin cấp độ 3 trở lên theo quy định của pháp luật.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi vi phạm sau đây:
a) Không phổ biến, cập nhật các quy định về an toàn thông tin của tổ chức cho tất cả cá nhân trong tổ chức tối thiểu mỗi năm một lần;
b) Thực hiện không đúng quy định về việc sao lưu dự phòng, kiểm tra, phục hồi dữ liệu sao lưu bảo đảm an toàn dữ liệu đối với các hệ thống thông tin cấp độ 3 trở lên theo quy định của pháp luật;
c) Không triển khai các giải pháp an ninh mạng để kiểm soát các kết nối mạng, phát hiện phòng chống tấn công xâm nhập mạng cho các hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến cho khách hàng;
d) Không triển khai các hình thức xác nhận giao dịch điện tử khi cung cấp dịch vụ trực tuyến theo quy định của pháp luật;
đ) Không hướng dẫn khách hàng thực hiện các biện pháp bảo đảm an toàn, bảo mật thông tin khi sử dụng dịch vụ trực tuyến trong ngành ngân hàng;
e) Thực hiện không đúng quy định về lưu trữ nhật ký giao dịch, nhật ký xác nhận giao dịch, nhật ký về hoạt động của hệ thống thông tin và người sử dụng, các lỗi phát sinh, các sự cố an toàn thông tin theo quy định của pháp luật;
g) Không triển khai trung tâm điều hành an ninh mạng để giám sát, xử lý các sự cố an toàn thông tin theo quy định của pháp luật;
h) Không đưa ra phương án, kế hoạch xử lý rủi ro từ lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng đối với các hệ thống thông tin cấp độ 3 trở lên theo quy định của pháp luật;
i) Không xây dựng hệ thống dự phòng thảm họa hoặc xây dựng hệ thống dự phòng thảm họa không đáp ứng các yêu cầu theo quy định của pháp luật;
k) Không thực hiện diễn tập phương án xử lý sự cố bảo đảm an toàn thông tin theo đúng quy định của pháp luật;
l) Không thực hiện chuyển đổi hoạt động từ hệ thống chính sang hệ thống dự phòng định kỳ đối với hệ thống thông tin cấp độ 3 trở lên theo quy định của pháp luật.
3. Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với hành vi vi phạm quy định về cấp độ bảo đảm an toàn hệ thống thông tin đối với hệ thống dịch vụ trực tuyến ngân hàng.
4. Hình thức xử phạt bổ sung:
Đình chỉ việc sử dụng dịch vụ công nghệ thông tin của bên thứ ba trong thời hạn 01 tháng đến 03 tháng đối với các vi phạm tại điểm a khoản 1 Điều này.
5. Biện pháp khắc phục hậu quả:
Buộc thực hiện đúng quy định của pháp luật về an toàn công nghệ thông tin trong hoạt động ngân hàng đối với hành vi vi phạm quy định tại Điều này.
Không có nhận xét nào:
Đăng nhận xét