Tin tức

Thông Tư 77/2025/TT-NHNN: Yêu Cầu An Toàn Thông Tin Ngân Hàng Số Và Giải Pháp ISO/IEC 27001

Đăng vào bởi admin

Mục Lục

Giới thiệu

Từ ngày 01/03/2026, Thông tư 77/2025/TT-NHNN chính thức có hiệu lực, siết chặt an toàn thông tin cho dịch vụ ngân hàng số tại Việt Nam. Các ngân hàng như BIDV, Vietcombank, VietinBank, Agribank phải tuân thủ nghiêm ngặt để đảm bảo an toàn cho khách hàng trước tình trạng tội phạm công nghệ cao gia tăng.

1. Thông tư 77/2025/TT-NHNN là gì?

Thông tư 77/2025/TT-NHNN là văn bản quy định chi tiết về an toàn, bảo mật trong hoạt động ngân hàng điện tử do Ngân hàng Nhà nước Việt Nam ban hành.

Mục tiêu chính:

  • Tăng cường an toàn thông tin trong ngân hàng số
  • Ngăn chặn gian lận và tội phạm công nghệ cao
  • Bảo vệ quyền lợi khách hàng
  • Đảm bảo phát triển bền vững hệ thống ngân hàng

Phạm vi áp dụng:

  • Các ngân hàng thương mại
  • Tổ chức tín dụng phi ngân hàng
  • Chi nhánh ngân hàng nước ngoài tại Việt Nam
  • Tổ chức cung cấp dịch vụ trung gian thanh toán

2. Các yêu cầu quan trọng trong Thông tư 77

2.1. Phát hiện thiết bị bị can thiệp

  • Phát hiện thiết bị bị jailbreak/root
  • Kiểm tra tính toàn vẹn của thiết bị
  • Ngừng giao dịch khi phát hiện bất thường

Tác động: Khách hàng dùng thiết bị đã jailbreak/root không thể sử dụng smart banking từ 01/03/2026.

2.2. Phát hiện ứng dụng bị chỉnh sửa/giả mạo

  • Xác thực chữ ký số ứng dụng
  • Kiểm tra tính toàn vẹn mã nguồn
  • Chống giả mạo giao diện (phishing app)
  • Xác thực đa yếu tố (MFA) bắt buộc

2.3. Đánh giá lỗ hổng bảo mật định kỳ

  • Đánh giá rủi ro: 01 lần/năm
  • Kiểm tra thâm nhập: 06 tháng/lần
  • Quét lỗ hổng: 03 tháng/lần
  • Đánh giá mã nguồn trước khi triển khai

2.4. Kiểm soát rủi ro gian lận

  • Giám sát giao dịch thời gian thực
  • Phân tích hành vi người dùng
  • Giới hạn giao dịch theo cấp độ rủi ro
  • Xác thực bổ sung cho giao dịch bất thường

2.5. Quản lý sự cố an toàn thông tin

  • Xây dựng quy trình ứng phó sự cố
  • Báo cáo NHNN trong 24 giờ (sự cố nghiêm trọng)
  • Đảm bảo phục hồi dịch vụ nhanh chóng

3. Tác động của Thông tư 77

Đối với ngân hàng:

Thách thức:

  • Chi phí đầu tư công nghệ cao
  • Áp lực thời gian triển khai
  • Cần đội ngũ chuyên gia an toàn thông tin

Cơ hội:

  • Nâng cao uy tín và niềm tin
  • Giảm thiểu rủi ro tổn thất
  • Lợi thế cạnh tranh
  • Phát triển bền vững

Đối với khách hàng:

Bất tiện ngắn hạn:

  • Không dùng được dịch vụ trên thiết bị jailbreak/root
  • Quy trình xác thực phức tạp hơn

Lợi ích dài hạn:

  • An toàn tài khoản, thông tin cá nhân
  • Giảm nguy cơ lừa đảo
  • Dịch vụ tin cậy hơn

4. ISO/IEC 27001 – Giải pháp tối ưu tuân thủ Thông tư 77

4.1. ISO/IEC 27001 là gì?

ISO/IEC 27001 là tiêu chuẩn quốc tế về Hệ thống quản lý an toàn thông tin (ISMS), cung cấp khung quản lý toàn diện để bảo vệ thông tin của tổ chức.

4.2. Tại sao ISO/IEC 27001 phù hợp với Thông tư 77?

✅ Hệ thống quản lý rủi ro an toàn thông tin

  • Đánh giá rủi ro có hệ thống
  • Xử lý rủi ro hiệu quả
  • Giám sát và rà soát liên tục

✅ Quy trình quản lý truy cập và bảo mật

  • Kiểm soát truy cập chặt chẽ
  • Xác thực đa yếu tố
  • Mã hóa dữ liệu
  • Bảo mật mạng toàn diện

✅ Cơ chế phát hiện và xử lý sự cố

  • Quy trình quản lý sự cố rõ ràng
  • Đội ngũ ứng phó sự cố (CSIRT)
  • Ghi nhận và báo cáo đầy đủ
  • Cải tiến liên tục

✅ Đánh giá và cải tiến liên tục

  • Áp dụng chu trình PDCA (Plan-Do-Check-Act)
  • Đảm bảo hệ thống luôn được cập nhật

4.3. Lợi ích khi triển khai ISO/IEC 27001

Đối với ngân hàng:

Tuân thủ nhanh chóng

  • Có sẵn khung quản lý, chỉ cần bổ sung yêu cầu kỹ thuật
  • Tiết kiệm thời gian và chi phí

Giảm rủi ro gián đoạn

  • Kiểm soát chặt chẽ, xử lý sự cố kịp thời
  • Đảm bảo tính liên tục hoạt động

Nâng cao uy tín

  • Chứng nhận quốc tế về năng lực quản lý an toàn thông tin
  • Tăng niềm tin khách hàng, đối tác

Tối ưu chi phí

  • Quản lý rủi ro hiệu quả
  • Tránh xử phạt vi phạm

Lợi thế cạnh tranh

  • Đáp ứng yêu cầu khách hàng doanh nghiệp
  • Mở rộng hợp tác quốc tế

Đối với khách hàng:

✅ An toàn thông tin được đảm bảo ✅ Dịch vụ ổn định, tin cậy ✅ Quyền lợi được bảo vệ

5. Quy trình triển khai ISO/IEC 27001

Bước 1: Cam kết lãnh đạo

Phê duyệt chính sách, phân bổ nguồn lực

Bước 2: Xác định phạm vi ISMS

Xác định bộ phận, quy trình, tài sản cần bảo vệ

Bước 3: Đánh giá rủi ro

Xác định tài sản, phân tích mối đe dọa, đánh giá rủi ro

Bước 4: Triển khai biện pháp kiểm soát

Áp dụng kiểm soát theo ISO/IEC 27001 và Thông tư 77

Bước 5: Đào tạo nhân viên

Đào tạo toàn bộ nhân viên về ISMS và an toàn thông tin

Bước 6: Vận hành và giám sát

Triển khai quy trình, giám sát hiệu quả

Bước 7: Đánh giá nội bộ

Kiểm tra nội bộ, rà soát của lãnh đạo

Bước 8: Chứng nhận

Đánh giá bởi tổ chức chứng nhận độc lập

Bước 9: Duy trì và cải tiến

Giám sát định kỳ, cập nhật liên tục

Thời gian triển khai: 6-12 tháng tùy quy mô tổ chức

6. Dịch vụ tư vấn chuyên nghiệp từ AIPAS Việt Nam

CÔNG TY CỔ PHẦN KHOA HỌC KỸ THUẬT AIPAS VIỆT NAM

Với hơn 10 năm kinh nghiệm trong lĩnh vực đánh giá sự phù hợp, AIPAS Việt Nam cung cấp:

Dịch vụ tư vấn ISO/IEC 27001:

✅ Đánh giá hiện trạng (Gap Analysis) ✅ Xây dựng hệ thống tài liệu ISMS ✅ Đánh giá rủi ro an toàn thông tin ✅ Tư vấn triển khai biện pháp kiểm soát ✅ Đào tạo nhân sự và auditor nội bộ ✅ Hỗ trợ chứng nhận ISO/IEC 27001

Dịch vụ tư vấn tuân thủ Thông tư 77:

✅ Phân tích yêu cầu pháp lý chi tiết ✅ Đánh giá lỗ hổng bảo mật (Penetration Testing, Vulnerability Assessment) ✅ Tư vấn giải pháp kỹ thuật (phát hiện thiết bị can thiệp, xác thực đa yếu tố…) ✅ Xây dựng quy trình quản lý sự cố ✅ Kế hoạch phục hồi sau thảm họa (DRP) và đảm bảo tính liên tục (BCP)

Cam kết:

🎯 “Độc lập – Khách quan – Chính xác – Tin cậy”

Đội ngũ chuyên gia:

  • Chứng chỉ quốc tế: CISSP, CISM, CEH
  • Auditor ISO/IEC 27001 được chứng nhận
  • Kinh nghiệm với nhiều ngân hàng, tổ chức tài chính
  • Hiểu rõ đặc thù ngành ngân hàng Việt Nam

7. Câu hỏi thường gặp (FAQ)

Hỏi: Tất cả ngân hàng đều phải tuân thủ Thông tư 77? Đáp: Có, tất cả ngân hàng và tổ chức tín dụng cung cấp dịch vụ ngân hàng số đều phải tuân thủ.

Hỏi: Thiết bị jailbreak/root có dùng được smart banking không? Đáp: Không, từ 01/03/2026, các ứng dụng ngân hàng sẽ chặn giao dịch trên thiết bị bị can thiệp.

Hỏi: Thời gian triển khai ISO/IEC 27001? Đáp: Từ 6-12 tháng tùy quy mô và mức độ sẵn sàng của tổ chức.

Hỏi: ISO/IEC 27001 có bắt buộc không? Đáp: Chưa bắt buộc nhưng là giải pháp tối ưu để tuân thủ Thông tư 77 và nâng cao năng lực quản lý an toàn thông tin.

Hỏi: Chi phí triển khai là bao nhiêu? Đáp: Phụ thuộc quy mô, phạm vi ISMS và mức độ đầu tư công nghệ. Liên hệ AIPAS để được tư vấn chi tiết.

8. Kết luận

Thông tư 77/2025/TT-NHNN là bước tiến quan trọng trong việc nâng cao an toàn thông tin cho ngân hàng số. Việc tuân thủ không chỉ là nghĩa vụ pháp lý mà còn là cơ hội để các ngân hàng nâng cao năng lực, tăng niềm tin khách hàng và phát triển bền vững.

ISO/IEC 27001 cung cấp khung quản lý toàn diện, giúp ngân hàng thích ứng nhanh với Thông tư 77, giảm rủi ro gián đoạn và tối ưu chi phí. Đây là nền tảng vững chắc để phát triển trong môi trường ngân hàng số.

Liên hệ CÔNG TY CỔ PHẦN KHOA HỌC KỸ THUẬT AIPAS VIỆT NAM để được tư vấn chi tiết về triển khai ISO/IEC 27001 và tuân thủ Thông tư 77/2025/TT-NHNN.

admin

Gọi điện thoại
096 5598 956
zalo
096 5598 956 Gọi báo giá zalo Zalo