19- بخشنامه شماره 00/191012 مورخ 1400/07/06; ابلاغ بخشنامه «حداقل الزامات ناظر بر ریسک فناوری اطلاعات مؤسسات اعتباری»

جزییات بخشنامه

تاریخ بخشنامه

1400/07/06

دسته بندی

بخشنامه های نظارت

شماره بخشنامه

00-191012

وضعیت سند

نامشخص است

تاریخ آخرین بروزرسانی

1404/02/31

ضوابط حداقل الزامات ناظر بر ریسک فناوری اطلاعات در شبکه بانکی

شماره :۰۰٫۱۹۱۰۱۲
تاریخ :۱۴۰۰٫۰۷٫۰۶
جهت اطلاع مدیران عامل محترم بانکهای دولتی غیر دولتی شرکت دولتی پست بانک موسسات اعتباری غیربانکی و بانک مشترک ایران - ونزوئلا ارسال میشود
با سلام
احتراماً، همان گونه که مستحضرند توسعه روز افزون فناوری اطلاعات و زیر ساختهای ارتباطی نقش تعیین کننده ای در کسب و کار بانکی داشته و تغییرات فراوانی را در خدمات بانکداری طی سالهای اخیر موجب شده است. گسترش و تنوع بسترها و خدمات بانکی مبتنی بر فناوری اطلاعات و رشد فزاینده تراکنشهای بانکداری الکترونیکی، افزایش ریسک های مرتبط على الخصوص ریسک عملیاتی که از جمله مهمترین منابع ایجاد کننده آن ریسک فناوری اطلاعات میباشد را در پی داشته است. در این میان توجه ویژه به مقوله ارتقاء امنیت زیر ساختها و فرایندهای حوزه فناوری اطلاعات با هدف کاهش ریسکها و چالشهای این حوزه امری ضروری و اجتناب ناپذیر میباشد. بر این اساس حوزه نظارت بانک مرکزی با هدف ارائه چارچوب مناسب در جهت ایجاد بستر امن و کاهش ریسکهای مترتب در حوزه فناوری اطلاعات اقدام به تدوین ضوابطی تحت عنوان حداقل الزامات ناظر بر ریسک فناوری اطلاعات مؤسسات اعتباری نموده که مراتب در هجدهمین جلسه مورخ ۱۴۰۰٫۰۵٫۳۱ کمیسیون مقررات و نظارت مؤسسات اعتباری طرح و به تصویب رسیده و مورد تأیید رییس کل محترم بانک مرکزی قرار گرفته است. با عنایت به مراتب فوق ضمن ابلاغ ضوابط مزبور به شرح پیوست به استحضار میرساند حداقل الزامات یادشده با بهره گیری از آخرین استانداردها و مراجع معتبر بین المللی مانند Deloitte ISO و Gartner و نیز استفاده از تجارب بهینه روز دنیا و همچنین دریافت نظرات کارشناسان مدیران و خبرگان مطلع فناوری اطلاعات شبکه بانکی کشور در قالب ۱۰ موضوع تخصصی حوزه فناوری اطلاعات تدوین شده است. برخی از مهمترین اهداف و ویژگیهای ضوابط حداقل الزامات ابلاغی به شرح زیر میباشد حرکت به سمت استقرار استانداردهای روز دنیا در حوزه فناوری اطلاعات شبکه بانکی کشور افزایش ضریب امنیت اطلاعات و کاهش ریسکهای فناوری اطلاعات مؤسسات اعتباری کاهش سوء استفاده های احتمالی و جلوگیری از هدر رفت منابع موجود در شبکه بانکی کشور یکپارچگی سیاستهای ابلاغی در نظارت بر ریسک فناوری اطلاعات مؤسسات اعتباری همچنین خاطر نشان میسازد رعایت مفاد بخشنامه های شماره ۹۷٫۴۹۷۵۱ مورخ ۹۷٫۰۲٫۲۰ با موضوع «الزامات سازمان دهی امنیت اطلاعات در بانکها و موسسات اعتباری شماره ۹۷٫٤٩٤۸۸ مورخ ۱۳۹۷٫۰۲٫۲۰ در خصوص الزامات گزارش دهی رخدادهای امنیت اطلاعات بانکی و شماره ۹۹٫۳۱۱۴۱۷ مورخ ۹۹٫۱۰٫۰۱ تحت عنوان احراز بانک مرکزی جمهوری اسلامی ایران هویت قوی در خدمات بانکداری الکترونیکی از راه دور که پیشتر توسط معاونت فناوریهای نوین این بانک به شبکه بانکی ابلاغ شده است در راستای انطباق با ضوابط ابلاغی پیوست ضروری میباشد. شایان ذکر است به منظور گزارش دهی دوره ای و سیستمی در خصوص نحوه عملکرد مؤسسات اعتباری در زمینه اجرای مفاد حداقل الزامات فرمهای متناظر در کارتابل «مهتاب» ایجاد و در دسترس شبکه بانکی قرار خواهد گرفت. بدیهی است آن بانک مؤسسه اعتباری موظف است در بازه های زمانی معین گزارشها و اطلاعات اقدامات خود در چارچوب ضوابط حداقل الزامات ناظر بر ریسک فناوری اطلاعات مؤسسات اعتباری را در کارتابل مهتاب بارگذاری و به این بانک ارسال نماید. با عنایت به موارد فوق ضروری است به منظور تطبیق حداکثری حوزه فناوری اطلاعات آن بانک مؤسسه اعتباری با مفاد حداقل الزامات ناظر بر ریسک فناوری اطلاعات مؤسسات اعتباری اقدامات و تمهیدات لازم به عمل آمده و برنامه زمان بندی دقیق بر اساس مهلت زمانی مندرج در ماده (۱۲۷) حداقل الزامات یاد شده به این مدیریت کل ارائه گردد. در خاتمه ضمن تأکید مجدد بر مسئولیت هیات مدیره در مدیریت مؤثر ریسک فناوری اطلاعات خواهشمند است. دستور فرمایند مراتب به قید تسریع به تمامی واحدهای ذی ربط آن بانک مؤسسه اعتباری ابلاغ شده و بر حسن اجرای آن نظارت دقیق به عمل آید.

مدیریت کل نظارت بر بانکها و موسسات اعتباری
اداره ارزیابی سلامت نظام بانکی
عبدالمهدی ارجمند نژاد / سید علی اکبر میرعمادی