आरबीआई/2012-13/547
सूप्रौवि.केंका(नीति).क्र 2636/09.63.025/2012-13

26 जून, 2013

अध्यक्ष/मुख्य कार्यकारी अधिकारी,
सभी अनुसूचित वाणिज्यिक बैंक
(आरआरबी को छोड़कर)

महोदय/ महोदया,

व्यापार निरंतरता योजना (बीसीपी), भेद्यता आकलन और प्रवेश परीक्षण (वीएपीटी) और सूचना सुरक्षा

कृपया मौद्रिक नीति वक्तव्य 2013-14 का पैरा 102 देखें जिसमें हमने बैंकों की सूचना प्रणाली (आईएस) को सुरक्षित रखने के महत्व पर बल दिया है। बैंकों के लिए अपने आईएस को सुरक्षित रखने, उनकी निरंतरता सुनिश्चित करने और उनकी मजबूती की जांच करने के लिए, यह अपेक्षा की जाती है कि बैंक उपयुक्त व्यवसाय निरंतरता योजना (बीसीपी) तैयार करें और समय-समय पर उनका परीक्षण करें। इन आईएस को भेद्यता मूल्यांकन और प्रवेश परीक्षण (वीएपीटी) के अंतर्गत भी किया जाना चाहिए।

2. 24x7 इलेक्ट्रॉनिक बैंकिंग चैनलों के बढ़ते योगदान को देखते हुए लोगों, प्रक्रिया और प्रौद्योगिकी के महत्वपूर्ण पहलुओं को शामिल करते हुए बैंकों द्वारा समेकित बीसीपी दस्तावेज़ तैयार करना महत्वपूर्ण है। दस्तावेजों में नीतियों, मानकों और प्रक्रियाओं को शामिल किया जाना चाहिए जिससे एक सहमत स्तर पर महत्वपूर्ण व्यावसायिक प्रक्रियाओं की निरंतरता, बहाली और पुनर्प्राप्ति सुनिश्चित की जा सके और लोगों, प्रक्रियाओं और बुनियादी ढांचे (आईटी सहित) पर किसी भी आपदा के प्रभाव को सीमित किया जा सके; या ऐसी आपदा से उत्पन्न परिचालन, वित्तीय, कानूनी, प्रतिष्ठित और अन्य भौतिक परिणामों को कम किया जा सके। अप्रत्याशित व्यवधानों को संभालने के लिए अपनी आंतरिक आईटी प्रणालियों का परीक्षण करने के लिए, बैंकों के लिए यह महत्वपूर्ण है कि वे नियमित आधार पर जोखिम बहाली (DR) का अभ्यास करें। यह भी महत्वपूर्ण है कि ये व्यवस्थाएं समय-समय पर परीक्षण के अधीन रखी जाएँ।

3. इसके अलावा, यह देखते हुए कि साइबर हमले से डाटा और सिस्टम की गोपनीयता, अखंडता और उपलब्धता को खतरा हो सकता है, बैंकों के लिए यह अनिवार्य है कि वे ऐसे किसी भी हमले को रोकने के लिए समय-समय पर वीएपीटी का संचालन करें। इन गतिविधियों का विवरण देने वाले दस्तावेज तैयार करने, उन्हें नियमित रूप से अद्यतित करने और इन परीक्षणों से पहचानी गई कमियों को समयबद्ध तरीके से दूर किया जाना आवश्यक है। यह बैंकों द्वारा किए जाने वाले सूचना सुरक्षा आश्वासन कार्य का हिस्सा होना चाहिए।

4. रिज़र्व बैंक, अन्य बातों के साथ-साथ, बेहतर नियंत्रण और सुरक्षा को सक्षम बनाने के लिए उचित आईटी और आईएस शासन संरचना स्थापित करने के महत्व पर बैंकों पर जोर देता रहा है। आईएस की सुरक्षा को नियंत्रित करने वाली नीतियों पर बोर्ड स्तर पर चर्चा और अनुमोदन किया जा सकता है और समय-समय पर अद्यतन किया जा सकता है। इसकी पुष्टि करने वाला एक प्रमाणपत्र हमारे रिकॉर्ड के लिए हमें भेजा जा सकता है। बाद में बैंकों के वार्षिक वित्तीय निरीक्षण के दौरान इस पहलू की जांच की जा सकती है।

5. डीआर ड्रिल और वीएपीटी के संचालन के संबंध में सूचना रिज़र्व बैंक द्वारा तिमाही आधार पर प्राप्त की जाती है और इसे जारी रखा जा सकता है।

6. सूचना सुरक्षा, इलेक्ट्रॉनिक बैंकिंग, प्रौद्योगिकी जोखिम प्रबंधन और साइबर धोखाधड़ी (अध्यक्ष: श्री जी गोपालकृष्ण) पर कार्यकारी समूह की रिपोर्ट में वर्णित व्यवसाय निरंतरता प्रबंधन ढांचे के महत्वपूर्ण घटक बैंकों की नीतियों को अंतिम रूप देते समय संदर्भ सामग्री के रूप में उपयोगी हो सकते हैं।

7. कृपया इस परिपत्र की प्राप्ति सूचना दें।

भवदीय

(ए एस रामशास्त्री)
प्रभारी मुख्य महाप्रबंधक