सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाओं पर मास्टर निदेश - आरबीआई - Reserve Bank of India
सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाओं पर मास्टर निदेश
आरबीआई/2023-24/107 7 नवम्बर, 2023 अध्यक्ष/प्रबंध निदेशक/मुख्य कार्यपालक अधिकारी महोदया/महोदय, सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाओं पर मास्टर निदेश कृपया 10 फरवरी, 2022 को द्विमासिक मौद्रिक नीति वक्तव्य 2021-22 के साथ जारी विकासात्मक और विनियामक नीतियों पर वक्तव्य के पैराग्राफ IV (8) को देखें, जिसमें यह घोषणा की गई थी कि मसौदा दिशानिर्देश, सूचना प्रौद्योगिकी (आईटी) अभिशासन और नियंत्रण, व्यवसाय निरंतरता प्रबंधन तथा सूचना प्रणाली लेखापरीक्षा से संबंधित अनुदेशों को अद्यतित और समेकित कर भारतीय रिजर्व बैंक द्वारा जारी किया जाएगा। 2. तदनुसार, इस विषय पर एक मसौदा मास्टर निदेश अक्टूबर 2022 में सार्वजनिक टिप्पणियों के लिए प्रकाशित किया गया था। प्राप्त फीडबैक के आधार पर, अंतिम भारतीय रिजर्व बैंक (सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाएं) निदेश, 2023 इसके साथ संलग्न हैं। 3. मास्टर निदेश के हिंदी और अंग्रेजी पाठ में यदि कोई असंगति या अस्पष्टता पाई जाती है तो मास्टर निदेश का अंग्रेजी पाठ मान्य होगा। भवदीय, (टी.के. राजन) संलग्न: भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाएं) निदेश, 2023 विषय-सूची
आरबीआई/2023-24/xx 7 नवम्बर, 2023 भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाएं) दिशानिर्देश, 2023 बैंककारी विनियमन अधिनियम, 1949 की धारा 35ए ; भारतीय रिज़र्व बैंक अधिनियम, 1934 की धारा 45एल और ऋण सूचना कंपनी (विनियमन) अधिनियम, 2005 की धारा 11, और इस संबंध में भारतीय रिज़र्व बैंक को सक्षम करने वाले अन्य सभी प्रावधान/कानून द्वारा प्रदत्त शक्तियों का प्रयोग करते हुए रिज़र्व बैंक इस बात से संतुष्ट होकर कि ऐसा करना जनहित में आवश्यक और समीचीन है, एतद्वारा निदेश जारी करता है जो यहां इसके बाद निर्दिष्ट है। 1. संक्षिप्त शीर्षक और प्रारंभ (ए) इन निदेशों को भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाएं) निदेश, 2023 कहा जाएगा। (बी) ये निदेश आईटी अभिशासन, जोखिम, नियंत्रण, आश्वासन प्रथाओं और व्यवसाय निरंतरता/आपदोपरांत बहाली प्रबंधन पर दिशानिर्देशों, अनुदेशों और परिपत्रों को शामिल, समेकित और अद्यतन करते हैं। निरस्त किए गए परिपत्रों की सूची इस मास्टर निदेश के अध्याय VII में दी गई है। (सी) ये निदेश 1 अप्रैल, 2024 से लागू होंगे। (ए) ये निदेश निम्नलिखित संस्थाओं (इन निदेशों में सामूहिक रूप से 'विनियमित संस्थाएं' या 'आरई' के रूप में संदर्भित) पर लागू होंगे :
(बी) ये निदेश इन पर लागू नहीं होंगे:
(सी) शाखा मोड के माध्यम से भारत में परिचालन करने वाले विदेशी बैंकों के मामले में, इन निदेशों में बोर्ड या निदेशक मंडल के संदर्भ को नियंत्रण कार्यालय/प्रधान कार्यालय को संदर्भित रूप में पढ़ा जाना चाहिए, जो भारत में शाखा परिचालन की निगरानी करता है। इसके अलावा, ऐसे विदेशी बैंक इन निदेशों की प्रयोज्यता के संदर्भ में 'अनुपालन या स्पष्टीकरण' दृष्टिकोण के अधीन होंगे। 'अनुपालन या स्पष्टीकरण' दृष्टिकोण पर्यवेक्षी प्रक्रिया के हिस्से के रूप में ऐसे विदेशी बैंकों को इन निदेशों के किसी विशिष्ट भाग से विचलन की अनुमति देगा, जो पर्यवेक्षी प्रक्रिया जिनका एतदर्थ उचित स्पष्टीकरण रिज़र्व बैंक द्वारा जांच और स्वीकृति के अधीन होगा। 3. परिभाषाएँ2 (ए) इन निदेशों में, जब तक कि संदर्भानुसार कुछ और न लगे, निम्न शब्दों का वही अर्थ होगा जो नीचे दिया गया है:
(बी) यहां परिभाषित किए जाने तक सभी अभिव्यक्तियों का वही अर्थ होगा जो उन्हें बैंककारी विनियमन अधिनियम, 1949 या भारतीय रिज़र्व बैंक अधिनियम, 1934 या साख सूचना कंपनी (विनियमन) अधिनियम, 2005 या सूचना प्रौद्योगिकी अधिनियम, 2000 या कंपनी अधिनियम, 2013 के तहत दिया गया है और उसके तहत बनाए गए नियम या कोई सांविधिक संशोधन या उसका पुन: अधिनियमन या जैसा कि आरबीआई के निदेशों / परिपत्रों में उपयोग किया जाता है, जैसा भी मामला हो। (ए) आईटी अभिशासन के प्रमुख फोकस क्षेत्रों में रणनीतिक संरेखण, जोखिम प्रबंधन, संसाधन प्रबंधन, कार्यनिष्पादन प्रबंधन और कारोबार निरंतरता/आपदोपरांत बहाली प्रबंधन शामिल होंगे। (बी) आरई उपर्युक्त फोकस क्षेत्रों के आधार पर एक मजबूत आईटी अभिशासन फ्रेमवर्क स्थापित करेंगे, जो अन्य बातों के अलावा:
(सी) उद्यम-व्यापी जोखिम प्रबंधन नीति या परिचालन जोखिम प्रबंधन नीति में आईटी से संबंधित जोखिमों (अंतर्निहित और संभावित जोखिम दोनों) का आवधिक मूल्यांकन भी शामिल होगा। (ए) आईटी, सूचना आस्ति, कारोबार निरंतरता, सूचना सुरक्षा, साइबर सुरक्षा (घटना प्रतिक्रिया और बहाली प्रबंधन/साइबर संकट प्रबंधन सहित) से संबंधित रणनीतियों और नीतियों को निदेशक मंडल द्वारा अनुमोदित किया जाएगा। (बी) ऐसी रणनीतियों और नीतियों की बोर्ड द्वारा कम से कम वार्षिक समीक्षा की जाएगी। (ए) आरई एक बोर्ड-स्तरीय आईटी रणनीति समिति (आईटीएससी)8 की स्थापना करेगा। (बी) आईटीएससी का गठन करते समय, आरई यह सुनिश्चित करेंगे:
(सी) आईटीएससी की बैठक कम से कम तिमाही आधार पर अवश्य होगी। (डी) आईटीएससी निम्नलिखित कार्य करेगा:
7. वरिष्ठ प्रबंधन एवं आईटी संचालन समिति (ए) आरई का वरिष्ठ प्रबंधन अन्य बातों के साथ-साथ यह भी सुनिश्चित करेगा कि:
(बी) आरई आईटी और कारोबारी कार्यों से वरिष्ठ प्रबंधन स्तर पर प्रतिनिधित्व के साथ एक आईटी संचालन समिति की स्थापना करेंगे। (सी) आईटी संचालन समिति की जिम्मेदारियां अन्य बातों के साथ-साथ ये भी होंगी:
(डी) आईटी संचालन समिति कम से कम तिमाही आधार पर बैठक अवश्य करेगी। (ए) आरई आईटी से संबंधित पहलुओं में पर्याप्त वरिष्ठ स्तर के, तकनीकी रूप से सक्षम और अनुभवी अधिकारी को आईटी कार्य के प्रमुख12 के रूप में नियुक्त करेगा। (बी) आईटी कार्य का प्रमुख, अन्य बातों के साथ-साथ, निम्नलिखित के लिए भी जिम्मेदार होगा:
(सी) सुरक्षा की पहली पंक्ति के रूप में, आईटी कार्य के प्रमुख (i) आरई की सूचना संपत्तियों को सुरक्षित करने के लिए (ii) आईटी से संबंधित पहलुओं पर मौजूदा आंतरिक नीतियों, नियामक और कानूनी आवश्यकताओं का अनुपालन करने के लिए, आईटी नियंत्रणों और आईटी जोखिमों के प्रभावी आकलन, मूल्यांकन और प्रबंधन को सुनिश्चित करेंगे, जिसमें मजबूत आंतरिक नियंत्रणों का कार्यान्वयन भी शामिल है। अध्याय III - आईटी अवसंरचना और सेवा प्रबंधन (ए) आरई को अपने संपूर्ण आईटी परिवेश (डीआर स्थलों सहित) की संचालन आघात-सहनीयता को सुनिश्चित करने हेतु अपनी सूचना प्रणाली और बुनियादी ढांचे का समर्थन करने के लिए एक मजबूत आईटी सेवा प्रबंधन ढांचा स्थापित करना होगा। (बी) कर्तव्यों के प्रभावी पृथक्करण को सुनिश्चित करते हुए आईटी संचालन को प्रबंधित करने के लिए एक सेवा स्तर प्रबंधन (एसएलएम) प्रक्रिया शुरू की जाएगी। (सी) आरई के संचालन के लिए उनकी गंभीरता के आधार पर आरई सूचना आस्तियों के सुरक्षा वर्गीकरण (गोपनीयता, अखंडता और उपलब्धता के संदर्भ में) की पहचान और मैपिंग सुनिश्चित करेंगे। (डी) व्यवसाय संचालन की निर्बाध निरंतरता के लिए, आरई को पुराने और असमर्थित हार्डवेयर या सॉफ्टवेयर का उपयोग करने से बचना चाहिए और निरंतर आधार पर सॉफ्टवेयर के समर्थन की समाप्ति (ईओएस) तिथि और आईटी हार्डवेयर के वार्षिक रखरखाव अनुबंध (एएमसी) तिथियों की सतत आधार पर निगरानी करनी चाहिए। (ई) आरई को ईओएस की स्थिति तक पहुंचने से पहले समयबद्ध तरीके से हार्डवेयर और सॉफ्टवेयर के प्रतिस्थापन के लिए एक प्रौद्योगिकी नवीनीकरण योजना विकसित करनी होगी। जहां सूचना प्रौद्योगिकी/साइबर सुरक्षा पारिस्थितिकी तंत्र में तीसरे पक्ष की व्यवस्था भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी सेवाओं की आउटसोर्सिंग) निदेश, 2023 की प्रयोज्यता के भीतर नहीं है, वहाँ आरई उचित विक्रेता जोखिम आकलन प्रक्रिया और आकलित किए गए जोखिम और महत्त्व का आनुपातिक नियंत्रण स्थापित करेंगे, इसके साथ ही वे : (ए) संकेंद्रण जोखिम को कम करेंगे; (बी) हितों के किसी भी टकराव को शामिल या संबोधित करेंगे; (सी) विफलता के एकल बिंदु से जुड़े जोखिमों को कम करेंगे; (डी) ग्राहक डेटा की सुरक्षा के लिए लागू कानूनी, नियामक आवश्यकताओं और मानकों का अनुपालन करेंगे; (ई) उच्च उपलब्धता प्रदान करेंगे (निर्बाध ग्राहक सेवा के लिए); और (एफ) आपूर्ति श्रृंखला जोखिमों को प्रभावी ढंग से प्रबंधित करेंगे। (ए) आरई यह सुनिश्चित करेंगे कि सूचना प्रणाली और बुनियादी ढांचे कारोबारी कार्यों का समर्थन करने में सक्षम हैं और सभी सेवा वितरण चैनलों की उपलब्धता सुनिश्चित करते हैं। (बी) वर्ष में एक या अधिक बार, आरई सक्रिय रूप से आईटी संसाधनों की क्षमता आवश्यकता का आकलन करेंगे। आरई यह सुनिश्चित करेंगे कि आरई की आईटी रणनीति के अनुसार घटकों, सेवाओं, सिस्टम संसाधनों, सहायक बुनियादी ढांचे में आईटी क्षमता योजना पिछले रुझानों (पीक उपयोग), वर्तमान कारोबारी आवश्यकताओं और अनुमानित भविष्य की आवश्यकताओं के अनुरूप है। (सी) आईटी क्षमता आवश्यकताओं के आकलन और मामलों के समाधान के लिए किए गए उपायों की समीक्षा आईटीएससी द्वारा की जाएगी। (ए) आरई को उनके द्वारा शुरू की गई आईटी परियोजनाओं के लिए एक सुसंगत और औपचारिक रूप से परिभाषित परियोजना प्रबंधन दृष्टिकोण का पालन करना होगा। परियोजना प्रबंधन दृष्टिकोण, अन्य बातों के साथ-साथ, परियोजना जोखिमों और प्रगति की प्रभावी निगरानी और प्रबंधन के लिए उचित हितधारक की भागीदारी को सक्षम करेगा। (बी) नई या उभरती प्रौद्योगिकियों, उपकरणों को अपनाते समय, या प्रौद्योगिकी स्टैक में अपने मौजूदा ढांचे को नया रूप देते समय, आरई को एक मानक उद्यम संरचना योजना पद्धति या ढांचे का पालन करना होगा। (सी) नई या उभरती प्रौद्योगिकियों को अपनाया जाना जोखिम वहन क्षमता और आरई की समग्र व्यवसाय/आईटी रणनीति के समतुल्य होगा। इसे किसी व्यवसाय द्वारा सुरक्षित और आघात-सहनीय तरीके से जानकारी के इष्टतम निर्माण, उपयोग या साझा करने की सुविधा प्रदान करनी चाहिए। (डी) आरई एप्लिकेशन और सूचना प्रणालियों के बीच डेटा साझा करने को सक्षम करने और डेटा की सामान्य समझ को बढ़ावा देने के लिए एंटरप्राइज़ डेटा डिक्शनरी रखेंगे। (ई) आरई यह सुनिश्चित करेंगे कि सॉफ्टवेयर अनुप्रयोगों का रखरखाव और आवश्यक समर्थन सॉफ्टवेयर विक्रेताओं द्वारा प्रदान किया जाए और इसे औपचारिक करार के माध्यम से लागू किया जाए। (एफ) आरई को अपने विक्रेताओं से सभी महत्वपूर्ण एप्लिकेशन के लिए सोर्स कोड प्राप्त करने होंगे। जहां सोर्स कोड प्राप्त करना संभव नहीं है, वहाँ आरई विक्रेता द्वारा चूक के जोखिम को पर्याप्त रूप से कम करने के लिए एक सोर्स कोड एस्क्रो व्यवस्था या अन्य कोई व्यवस्था करेंगे। आरई यह सुनिश्चित करेंगे कि सभी प्रॉडक्ट अपडेट और प्रोग्राम फिक्स सोर्स कोड एस्क्रो व्यवस्था में शामिल हों। (जी) आरई को एप्लिकेशन डेवलपर या विक्रेता से एक प्रमाणपत्र या लिखित पुष्टि प्राप्त करनी होगी जिसमें वर्णित हो कि एप्लिकेशन ज्ञात सुभेद्यताओं, मैलवेयर और कोड में किसी भी गुप्त चैनल से मुक्त है। जब भी कोड में अपग्रेड सहित कोई महत्वपूर्ण परिवर्तन होता है, तो इसके लिए भी प्रमाणपत्र या लिखित पुष्टि प्राप्त की जाएगी। (एच) कारोबारी उत्पाद13 के रूप में पेश किए जाने वाले किसी भी नए आईटी एप्लिकेशन को उत्पाद अनुमोदन और गुणवत्ता आश्वासन प्रक्रिया के अधीन किया जाएगा। आरई निम्नलिखित को सुनिश्चित करने के लिए परिवर्तन और पैच प्रबंधन हेतु प्रलेखित नीति(यों) और प्रक्रियाओं को स्थापित करेगा: (ए) पैच/परिवर्तन लागू करने (या किसी विशेष पैच/परिवर्तन अनुरोध को लागू नहीं करने) के कारोबारी प्रभाव का आकलन किया जाता है; (बी) पैच/परिवर्तन अपेक्षित अनुमोदन के साथ सुरक्षित व समयबद्ध तरीके से लागू/क्रियान्वित किए जाते हैं और उसी भाँति उनकी समीक्षा भी की जाती है; (सी) किसी एप्लिकेशन सिस्टम या डेटा में कोई भी परिवर्तन वास्तविक कारोबारी आवश्यकताओं के आधार पर और अनुमोदन प्रलेखीकरण द्वारा समर्थित होते हैं तथा एक सुदृढ़ परिवर्तन प्रबंधन प्रक्रिया के अधीन होते हैं; और (डी) विफल परिवर्तनों/पैच परिनियोजन या अप्रत्याशित परिणामों से उबरने के लिए तंत्र स्थापित किया गया है। आरई के पास डेटा माइग्रेशन के लिए एक व्यवस्थित प्रक्रिया निर्दिष्ट करने वाली एक प्रलेखित डेटा माइग्रेशन नीति होगी, जो डेटा अखंडता, पूर्णता और स्थिरता सुनिश्चित करेगी। नीति में, अन्य बातों के साथ-साथ, माइग्रेशन के प्रत्येक चरण में कारोबारी उपयोगकर्ताओं और एप्लिकेशन मालिकों से साइनऑफ़, ऑडिट ट्रेल्स के रखे जाने आदि से संबंधित प्रावधान शामिल होंगे। (ए) प्रत्येक आईटी एप्लिकेशन जो महत्वपूर्ण या संवेदनशील सूचना तक पहुंच सकता है या उसे प्रभावित कर सकता है, उसमें आवश्यक ऑडिट और सिस्टम लॉगिंग क्षमता होनी चाहिए और उसे लेखा-सत्यापन चिह्न प्रदान करने चाहिए। (बी) ऑडिट ट्रेल विनियामक और विधिक आवश्यकताओं के अलावा आरई की कारोबारी आवश्यकताओं को भी पूरा करेगा। ऑडिट ट्रेल लेखा-परीक्षाकरण को आसान बनाने, आवश्यकता पड़ने पर फोरेंसिक साक्ष्य के रूप में कार्य करने और गैर-अस्वीकरण उद्देश्यों सहित विवाद समाधान में सहायता करने के लिए पर्याप्त रूप से विस्तृत होना चाहिए। (सी) आरई किसी भी अनधिकृत गतिविधि का पता लगाने के लिए ऑडिट ट्रेल और सिस्टम लॉग की नियमित निगरानी के लिए एक प्रणाली स्थापित करेगा। ट्रांसमिशन चैनलों, डेटा प्रसंस्करण और प्रमाणीकरण उद्देश्य में उपयोग की जाने वाली कुंजी लंबाई, एल्गोरिदम, सिफर सुइट और लागू प्रोटोकॉल मजबूत होंगे। आरई को अंतरराष्ट्रीय स्तर पर स्वीकृत और प्रकाशित मानकों को अपनाना होगा जिन्हें असुरक्षित/सुभेद्य के रूप में निंदित/प्रदर्शित नहीं किया गया है और ऐसे नियंत्रणों को लागू करने में शामिल कॉन्फ़िगरेशन मौजूदा कानूनों और विनियामक अनुदेशों के अनुरूप होंगे। 17. सीधे प्रसंस्करण के माध्यम से (ए) डेटा के अनधिकृत संशोधन को रोकने के लिए, आरई यह सुनिश्चित करेंगे कि महत्वपूर्ण अनुप्रयोगों के संबंध में डेटा को एक प्रक्रिया से दूसरे में या एक एप्लिकेशन से दूसरे में अंतरित करते समय कोई मैन्युअल हस्तक्षेप या मैन्युअल संशोधन न हो। (बी) प्रक्रियाओं या अनुप्रयोगों के बीच डेटा ट्रांसफर तंत्र का उचित परीक्षण किया जाना चाहिए, आवश्यक जांच और संतुलन के साथ सुरक्षित रूप से स्वचालित किया जाना चाहिए, और उचित प्रमाणीकरण तंत्र और ऑडिट ट्रेल के साथ "सीधे प्रसंस्करण" पद्धति के माध्यम से व्यवस्थित रूप से एकीकृत किया जाना चाहिए। 18. भौतिक एवं पर्यावरणीय नियंत्रण (ए) आरई अपने द्वारा उपयोग किए जाने वाले डेटा सेंटर और आपदोपरांत बहाली स्थलों14 साइटों में उपयुक्त भौतिक एवं पर्यावरणीय नियंत्रण लागू करेंगे। (बी) डीसी और डीआर स्थल भौगोलिक रूप से भली भांति अलग-अलग हों, ताकि दोनों स्थल भौगोलिक स्थिति से सम्बद्ध खतरे से प्रभावित न हों। (सी) आरई यह सुनिश्चित करेंगे कि उनकी डीसी और डीआर साइटें आवश्यक ई-निगरानी तंत्र के अधीन हैं। (ए) सूचना आस्तियों तक पहुंच की अनुमति केवल वहीं दी जाएगी जहां वैध कारोबारी आवश्यकता है। आरई के पास प्रलेखित मानक और प्रक्रियाएं होंगी, जो आईटीएससी द्वारा अनुमोदित हैं एवं सूचना प्रणाली तक आवश्यकता-आधारित पहुँच को प्रशासित करने के लिए अद्यतित रखी गई हैं। (बी) उन्नत सिस्टम पहुँच हकदार वाले कार्मिकों की उनकी सभी प्रणाली गतिविधियों को लॉग इन करके बारीकी से निगरानी की जाएगी और समय-समय पर समीक्षा की जाएगी। (सी) आरई को आरई के जोखिम मूल्यांकन के आधार पर महत्वपूर्ण गतिविधियों i) महत्वपूर्ण सूचना प्रणालियों और ii) महत्वपूर्ण गतिविधियों के विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए बहु-कारक प्रमाणीकरण अपनाना होगा। टेलीवर्किंग परिवेश में, आरई, अन्य बातों के साथ-साथ, यह करेगा: (ए) सुनिश्चित करें कि उपयोग की गई प्रणालियाँ और वैकल्पिक कार्य स्थान से आरई की सूचना आस्तियों की मेजबानी करने वाले परिवेश तक दूरस्थ पहुंच सुरक्षित है; (बी) महत्वपूर्ण प्रणालियों तक उद्यम की पहुंच (तार्किक) के लिए बहु-कारक प्रमाणीकरण लागू करें; (सी) आरई के सिस्टम से संबद्ध/जुड़े सभी दूरस्थ-पहुँच उपकरणों की पहचान करने के लिए एक तंत्र स्थापित करें; और (डी) सुनिश्चित करें कि टेलीवर्किंग में साझा/प्रस्तुत किया गया डेटा/जानकारी सम्यक रूप से सुरक्षित है। (ए) आरई सभी महत्वपूर्ण सूचना प्रणालियों के लिए रिकवरी पॉइंट ऑब्जेक्टिव (आरपीओ) और रिकवरी टाइम ऑब्जेक्टिव (आरटीओ) सहित सिस्टम निष्पादन, रिकवरी एवं कारोबार पुनः आरंभ करने के लिए उपयुक्त मैट्रिक्स को परिभाषित करेगा। (बी) गैर-महत्वपूर्ण सूचना प्रणालियों के लिए, आरई उपयुक्त मैट्रिक्स को परिभाषित करने के लिए जोखिम-आधारित दृष्टिकोण अपनाएंगे। (सी) आरई आईटी निष्पादन और आईटी परिपक्वता स्तर को मापने के लिए उपयुक्त स्कोरकार्ड/ मैट्रिक्स /पद्धति लागू करेंगे। अध्याय IV - आईटी और सूचना सुरक्षा जोखिम प्रबंधन 22. आईटी संबंधी जोखिमों की आवधिक समीक्षा आरई की जोखिम प्रबंधन नीति में साइबर सुरक्षा से संबंधित जोखिमों सहित आईटी से संबंधित जोखिम शामिल होंगे, और आईटीएससी के परामर्श से बोर्ड की जोखिम प्रबंधन समिति (आरएमसीबी) आवधिक रूप से इसकी समीक्षा करेगी और कम से कम वार्षिक आधार पर इसे अद्यतन करेगी। 23. आईटी और सूचना सुरक्षा जोखिम प्रबंधन फ्रेमवर्क आरई एक सुदृढ़ आईटी और सूचना सुरक्षा जोखिम प्रबंधन फ्रेमवर्क15 स्थापित करेगा, जिसमें अन्य बातों के साथ-साथ निम्नलिखित पहलू भी शामिल होंगे: (ए) पहचान किए गए जोखिमों को कम करने/प्रबंधित करने के लिए व्यापक सूचना सुरक्षा प्रबंधन प्रणाली, आंतरिक नियंत्रण एवं प्रक्रियाओं (लागू बीमा कवर सहित) का कार्यान्वयन। कार्यान्वित नियंत्रणों और प्रक्रियाओं की परिवर्तनशील प्रकृति की जोखिम वाले वातावरण में प्रभावकारिता की आवधिक समीक्षा की जानी चाहिए; (बी) आईटी जोखिम प्रबंधन में शामिल हितधारकों (तीसरे पक्ष के कर्मियों सहित) की भूमिकाओं और उत्तरदायित्वों का निर्धारण। संभावित भूमिका संघर्ष के क्षेत्रों और जवाबदेही अंतराल की विशेष रूप से पहचान कर उन्हें समाप्त या प्रबंधित किया जाना चाहिए; (सी) संगठन की महत्वपूर्ण सूचना प्रणालियों की पहचान और ऐसी प्रणालियों के सुरक्षा परिवेश को मजबूत करना; और (डी) डेटा/सूचना के सुरक्षित भंडारण/संचरण/प्रसंस्करण को सुनिश्चित करने के लिए आवश्यक प्रणालियों, प्रक्रियाओं और नियंत्रणों का निर्धारण एवं कार्यान्वयन। 24. सूचना सुरक्षा नीति और साइबर सुरक्षा नीति (ए) सूचना सुरक्षा नीति अन्य बातों के साथ-साथ नीति के उद्देश्यों, विस्तार, स्वामित्व और उत्तरदायित्व ; सूचना सुरक्षा संगठनात्मक संरचना; अपवाद; अनुपालन समीक्षा और नीतियों के गैर-अनुपालन के लिए दंडात्मक उपाय जैसे पहलुओं को ध्यान में रखेगी। आरई को एक साइबर सुरक्षा नीति और साइबर संकट प्रबंधन योजना (सीसीएमपी) भी स्थापित करनी होगी। (बी) साइबर/सूचना सुरक्षा के प्रबंधन के लिए आईटीएससी की देखरेख में एक सूचना सुरक्षा समिति (आईएससी) का गठन किया जाएगा। आईटीएससी द्वारा सूचना सुरक्षा समिति, मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) और व्यवसाय एवं आईटी कार्यों इत्यादि के अन्य प्रतिनिधियों के साथ आईएससी का गठन किया जाएगा। आईएससी का प्रमुख जोखिम प्रबंधन कार्यक्षेत्र से जुड़ा हुआ होगा। आईएससी के प्रमुख उत्तरदायित्वों में अन्य बातों के साथ-साथ निम्न शामिल होंगे:
(सी) एक वरिष्ठ स्तर के कार्यकारी (अधिमानतः महाप्रबंधक या समकक्ष के पद पर) को मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) के रूप में नामित किया जाएगा। सीआईएसओ का आईटी कार्य के प्रमुख के साथ कोई प्रत्यक्ष रिपोर्टिंग संबंध नहीं होगा और उसे कोई कारोबारी लक्ष्य नहीं दिया जाएगा। आरई निम्नलिखित को सुनिश्चित करेंगे:
(डी) आरई यह सुनिश्चित करेंगे कि सीआईएसओ की भूमिकाएं और उत्तरदायित्व स्पष्ट रूप से परिभाषित और प्रलेखित हों, जिसमें कम से कम निम्नलिखित बिंदु शामिल हों:
(ए) आरई के दायरे में प्रत्येक सूचना आस्ति के लिए जोखिम आकलन, उचित सुरक्षा मानकों/आईटी नियंत्रण फ्रेमवर्क द्वारा निदेशित किया जाएगा। (बी) आरई यह सुनिश्चित करेंगे कि सभी स्टाफ-सदस्य और सेवा प्रदाता उन पर लागू मौजूदा सूचना सुरक्षा एवं स्वीकार्य-उपयोग नीतियों का अनुपालन करें। (सी) आरई अपने स्वयं के अनुभवों और उभरते खतरों व जोखिमों को ध्यान में रखते हुए, अपनी सुरक्षा अवसंरचना तथा सुरक्षा नीतियों की कम से कम सालाना समीक्षा करेंगे। आरई को फ़िशिंग, स्पूफ़िंग हमलों सहित साइबर हमलों से बेहतर ढंग से निपटने और उनके प्रतिकूल प्रभावों को कम करने के लिए कदम उठाने होंगे। 26. भेद्यता आकलन (वीए) / भेदन परीक्षण (पीटी) का संचालन (ए) महत्वपूर्ण सूचना प्रणालियों और/या विसैन्यीकृत जोन (डीएमजेड) में ग्राहक इंटरफेस वाले लोगों के लिए, वीए हर छह महीने में कम से कम एक बार और पीटी 12 महीने में कम से कम एक बार आयोजित किया जाएगा। साथ ही, आरईएस अपने सम्पूर्ण जीवनचक्र में ऐसी सूचना प्रणालियों का वीए/पीटी करेगा (कार्यान्वयन से पहले, कार्यान्वयन के बाद, मुख्य परिवर्तनों के बाद, आदि)। (बी) गैर-महत्वपूर्ण सूचना प्रणालियों के लिए, वीए/पीटी के संचालन की आवश्यकता और आवधिकता तय करने के लिए जोखिम-आधारित दृष्टिकोण अपनाया जाएगा। (सी) वीए/पीटी का संचालन ठीक ढंग से प्रशिक्षित और स्वतंत्र सूचना सुरक्षा विशेषज्ञों/लेखा परीक्षकों द्वारा किया जाएगा। (डी) कार्यान्वयन के बाद (आईटी प्रोजेक्ट/सिस्टम अपग्रेड आदि के) के परिदृश्य में, वीए/पीटी उत्पादन वातावरण के संबंध में किया जाएगा। अपरिहार्य परिस्थितियों में, यदि पीटी परीक्षण वातावरण में किया जाता है, तो आरई यह सुनिश्चित करेंगे कि परीक्षण वातावरण का वर्शन और कॉन्फ़िगरेशन उत्पादन वातावरण के सदृश है। किसी भी विचलन को आईएससी द्वारा प्रलेखित और अनुमोदित किया जाना चाहिए। (ई) आरई अपेक्षित सुधारात्मक उपाय करके पहचानी गई कमजोरियों और संबंधित जोखिमों को समयबद्ध रूप से ठीक करना सुनिश्चित करेगा और यह सुनिश्चित करेगा कि सामान्य कमजोरियों और एक्सपोजर (सीवीई) डेटाबेस में विद्यमान ज्ञात कमजोरियों की पुनरावृत्ति से बचने के लिए अनुपालन किया जा रहा है। (एफ) आरई को वीए/पीटी के संचालन के लिए एक प्रलेखित अभिगम स्थापित करना होगा जिसमें विस्तार, व्याप्ति, भेद्यता स्कोरिंग तंत्र (उदाहरण के लिए, सामान्य भेद्यता स्कोरिंग प्रणाली) और अन्य सभी पहलू शामिल होंगे। यह क्लाउड वातावरण में होस्ट की गई आरई की सूचना प्रणालियों पर भी लागू हो सकता है। 27. साइबर घटना प्रतिक्रिया और बहाली प्रबंधन16 (ए) साइबर घटना प्रतिक्रिया और बहाली प्रबंधन नीति घटनाओं के वर्गीकरण और मूल्यांकन को संबोधित; ऐसी घटनाओं को प्रबंधित करने, एक्सपोज़र को नियंत्रित करने और समय पर बहाली करने के लिए एक स्पष्ट संचार रणनीति और योजना शामिल करे। (बी) आरई साइबर घटनाओं की गंभीरता, प्रभाव और मूल कारण (यदि आवश्यक हो तो फोरेंसिक विश्लेषण सहित) का विश्लेषण करेगा। आरई व्यवसाय संचालन पर इन घटनाओं के प्रतिकूल प्रभाव को कम करने के लिए सुधारात्मक और निवारक उपाय अपनाएंगे। (सी) आरई के पास ऐसी घटनाओं से निपटने वाले कर्मचारियों/आउटसोर्स कर्मचारियों की प्रमुख भूमिकाओं की पहचान सहित लिखित घटना प्रतिक्रिया और बहाली प्रक्रियाएं होंगी। (डी) आरई के पास आवश्यकतानुसार बोर्ड और वरिष्ठ प्रबंधन के समक्ष तथा ग्राहकों के लिए भी घटनाओं की रिपोर्टिंग करने और इनके एस्केलेशन के लिए स्पष्ट संचार योजनाएं होनी चाहिए। आरई विनियामकीय आवश्यकताओं के अनुसार घटनाओं के संबंध में सीईआरटी-इन और आरबीआई17 को सक्रिय रूप से अधिसूचित करेंगे। आरई को भारतीय बैंकों - आईडीआरबीटी द्वारा स्थापित सेंटर फॉर एनालिसिस ऑफ रिस्क्स एंड थ्रेट्स (आईबी-कार्ट) को घटनाओं की रिपोर्ट करने के लिए भी प्रोत्साहित किया जाता है। (ई) आरई पिछली घटनाओं के साथ-साथ परीक्षणों और अभ्यासों के संचालन से सीखे गए सबक के माध्यम से घटना की प्रतिक्रिया और बहाली गतिविधियों और क्षमताओं में सुधार करने के लिए प्रक्रियाएं स्थापित करेंगे। आरई, अन्य बातों के साथ-साथ, हितधारकों (सेवा प्रदाताओं सहित) के साथ आवधिक अभ्यास/परीक्षण आयोजित करके संकट संचार योजना/प्रक्रिया की प्रभावशीलता सुनिश्चित करेंगे। अध्याय V - व्यवसाय निरंतरता और आपदोपरांत बहाली प्रबंधन 28. व्यवसाय निरंतरता योजना (बीसीपी) और आपदोपरांत बहाली (डीआर) नीति (ए) बीसीपी और डीआर नीति विघटनकारी घटनाओं की संभावना या प्रभाव को कम करने और व्यापार निरंतरता बनाए रखने में अपने कार्यों का मार्गदर्शन करने के लिए सर्वोत्तम प्रथाओं18 को अपनाएगी। नीति को प्रमुख विकास/जोखिम मूल्यांकन के आधार पर अद्यतित किया जाएगा। (बी) आरई की बीसीपी/डीआर क्षमताओं को इसके आघात-सहनीय उद्देश्यों का प्रभावी ढंग से समर्थन करने और साइबर हमलों/अन्य घटनाओं के बाद तेजी से बहाल करने और अपने महत्वपूर्ण संचालन (सुरक्षा नियंत्रण सहित) को सुरक्षित रूप से फिर से शुरू करने में सक्षम बनाने के लिए डिज़ाइन किया जाएगा। (ए) महत्वपूर्ण सूचना प्रणालियों के लिए डीआर ड्रिल की आवधिकता कम से कम अर्ध-वार्षिक आधार पर होगी और अन्य सूचना प्रणालियों के लिए आरई के जोखिम मूल्यांकन के अनुसार होगी। (बी) ड्रिल के सफल संचालन को सुनिश्चित करने के लिए डीआर ड्रिल के दौरान देखे गए किसी भी प्रमुख मुद्दे को अगले चक्र से पहले हल किया जाएगा और फिर से परीक्षण किया जाएगा। (सी) डीआर परीक्षण में डीआर/वैकल्पिक साइट पर स्विच करना और इस प्रकार इसे पर्याप्त लंबी अवधि के लिए प्राथमिक साइट के रूप में उपयोग करना शामिल होगा जहां कम से कम एक पूर्ण कार्य दिवस (दिन की शुरुआत से दिन के अंत तक के संचालन सहित) के सामान्य कारोबार परिचालन कवर होते हों। (डी) आरई नियमित रूप से संभावित आकस्मिकताओं के लिए विभिन्न परिदृश्यों के तहत बीसीपी / डीआर का परीक्षण करेंगे, ताकि यह सुनिश्चित हो सके कि यह अद्यतित और प्रभावी है। (ई) आरई डेटा का बैकअप रखेंगे और इसकी उपयोगिता की जांच करने के लिए आवशिक रूप से ऐसे बैकअप किए गए डेटा को रीस्टोर करेंगे। ऐसे बैकअप डेटा की शुद्धता को अनधिकृत पहुंच से सुरक्षित रखने के साथ-साथ संरक्षित भी किया जाएगा। (एफ) आरई यह सुनिश्चित करेंगे कि डीआर संरचना और प्रक्रियाएं मजबूत हों, जो आकस्मिकता के मामले में किसी भी बहाली अभियान के लिए परिभाषित आरटीओ और आरपीओ को पूरा करते हों। (जी) आरई को न्यूनतम आरटीओ (आरई के आईटीएससी द्वारा अनुमोदित) और महत्वपूर्ण सूचना प्रणालियों के लिए लगभग शून्य आरपीओ प्राप्त करने को प्राथमिकता देनी चाहिए। (एच) आरपीओ के शून्य ना होने के परिदृश्य में, आरई के पास वैकल्पिक स्थान से संचालन पुनः शुरू करते समय डेटा के समाधान के लिए एक प्रलेखित पद्धति होनी चाहिए। (आई) आरई यह सुनिश्चित करें कि डीसी और डीआर19 के संबंध में सूचना प्रणालियों और तैनात सुरक्षा पैच का कॉन्फ़िगरेशन समान हो। (जे) आरई विक्रेताओं और भागीदारों के भी महत्वपूर्ण परस्परसंबद्ध प्रणालियों और नेटवर्कों में बीसीपी और डीआर क्षमताओं को सुनिश्चित करेंगे। आरई के आरटीओ के अनुरूप सहयोगात्मक और समन्वित आघात-सहनीय परीक्षण के माध्यम से प्रदर्शित तत्परता आरई को सुनिश्चित करनी होगी। अध्याय VI - सूचना प्रणाली (आईएस) लेखापरीक्षा 30. सूचना प्रणाली (आईएस) लेखापरीक्षा (ए) बोर्ड की लेखापरीक्षण समिति (एसीबी) आरई के आईएस लेखापरीक्षा की निगरानी के लिए जिम्मेदार होगी। (बी) आरई एक आईएस लेखा परीक्षण नीति स्थापित करेंगी। आईएस लेखा परीक्षण नीति में इसके अधिदेश, उद्देश्य, प्राधिकरण, लेखा परीक्षण क्षेत्र, लेखा परीक्षण की आवधिकता आदि का स्पष्ट विवरण शामिल होगा। नीति को एसीबी द्वारा अनुमोदित किया जाएगा और वर्ष में कम से कम एक बार इसकी समीक्षा की जाएगी। (सी) एसीबी आईटी/सूचना सुरक्षा/साइबर सुरक्षा से संबंधित महत्वपूर्ण मुद्दों की समीक्षा करेगा और आरई के प्रबंधन को उचित दिशा और मार्गदर्शन प्रदान करेगा। (डी) आरई के पास एक अलग आईएस लेखा परीक्षण प्रणाली अथवा संसाधन हों जो आंतरिक लेखा परीक्षण प्रणाली के भीतर आवश्यक पेशेवर कौशल और क्षमता रखते हों। जहां आरई उन क्षेत्रों में आईएस लेखा परीक्षण करने के लिए बाहरी संसाधनों का उपयोग करता है जिनमें आरई के भीतर कौशल की कमी है, ऐसे बाहरी आईएस लेखा परीक्षण के लिए जिम्मेदारी और जवाबदेही आंतरिक लेखा परीक्षण प्रणाली के भीतर सक्षम प्राधिकारी के पास बनी रहेगी। (ई) आरई को जोखिम-आधारित लेखा परीक्षण दृष्टिकोण अपनाकर आईएस लेखा परीक्षण योजना बनानी होगी। (एफ) आरई, जहां भी संभव हो, महत्वपूर्ण प्रणालियों के लिए निरंतर लेखा परीक्षण दृष्टिकोण, अधिक नियमित आधार पर नियंत्रण और जोखिम मूल्यांकन करने पर विचार कर सकते हैं। अध्याय VII - निरसन और अन्य प्रावधान इन निदेशों के जारी होने के साथ, अनुबंध में सूचीबद्ध भारतीय रिज़र्व बैंक द्वारा जारी परिपत्रों में शामिल निर्देश/दिशानिर्देश उक्त अनुबंध में उल्लिखित तारीखों से निरस्त हो जाएंगे। उल्लिखित परिपत्रों में दिए गए सभी निर्देश/दिशानिर्देश इन निर्देशों के तहत माने जाएंगे। रिज़र्व बैंक द्वारा जारी किए गए अन्य परिपत्रों/दिशानिर्देशों/अधिसूचनाओं में उक्त निरस्त परिपत्रों के संदर्भ वाले किसी भी संदर्भ का अर्थ, निरसन की तारीख के बाद, इन निर्देशों का संदर्भ होगा, अर्थात् भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाएँ) दिशानिर्देश, 2023। इस तरह के निरसन के बावजूद, निरस्त किए गए परिपत्रों के तहत की गई कोई भी कार्रवाई, कथित तौर पर की गई या शुरू की गई, उक्त परिपत्रों/दिशानिर्देशों/अधिसूचनाओं के प्रावधानों द्वारा अभिशासित होती रहेगी। 31. अन्य कानूनों के लागू होने पर रोक नहीं इन निदेशों के प्रावधान वर्तमान में लागू किसी भी अन्य कानून, नियम, विनियम या निर्देशों के प्रावधानों के अतिरिक्त होंगे, न कि उनके स्थान पर। इन निदेशों के प्रावधानों को प्रभावी बनाने के उद्देश्य से या इन निदेशों के प्रावधानों के उपयोग या व्याख्या में किसी भी कठिनाई को दूर करने के लिए, भारतीय रिज़र्व बैंक, यदि आवश्यक समझे, इसमें शामिल मुद्दों और भारतीय रिज़र्व बैंक द्वारा दिए गए इन निदेशों के किसी भी प्रावधान की व्याख्या के संबंध में आवश्यक स्पष्टीकरण जारी कर सकता है जो कि अंतिम और बाध्यकारी होगा। इन निदेशों को जारी करते समय निम्नलिखित परिपत्रों को समेकित20 किया गया है: (i) कंप्यूटर लेखा परीक्षण के संचालन के लिए मानकीकृत चेकलिस्ट - कंप्यूटर लेखा परीक्षण पर समिति की रिपोर्ट पर दिनांक 19 दिसंबर, 2002 का परिपत्र डीबीएस.सीओ.ओएसएमओएस.बीसी.8/33.01.022/2002-2003 (ii) सूचना सुरक्षा, इलेक्ट्रॉनिक बैंकिंग, प्रौद्योगिकी जोखिम प्रबंधन और साइबर धोखाधड़ी पर कार्य समूह - अनुशंसाओं का कार्यान्वयन विषय पर दिनांक 29 अप्रैल, 2011 का परिपत्र डीबीएस.सीओ.आईटीसी.बीसी. क्र 6/31.02.008/2010-11 इन निदेशों के प्रभावी होने के साथ, रिज़र्व बैंक द्वारा जारी निम्नलिखित परिपत्रों में शामिल निर्देश/दिशानिर्देश निरस्त हो जाते हैं। ये परिपत्र 31 मार्च 2024 तक लागू रहेंगे।
1 इसमें भारत में संचालन के लिए लाइसेंस प्राप्त भारत से बाहर निगमित बैंक ('विदेशी बैंक'), लघु वित्त बैंक (एसएफबी), भुगतान बैंक (पीबी) शामिल हैं। 2 स्रोत - एफएसबी साइबर शब्दकोश (अप्रैल 2023 में अद्यतन) जब तक कि स्पष्ट रूप से अन्यथा उल्लेख न किया गया हो। 3 साइबर घटना की परिभाषा एफएसबी साइबर लेक्सिकन (अप्रैल 2023 में अद्यतित) से ली गई है। परिभाषा के अनुसार, इसमें साइबर सुरक्षा के साथ-साथ आईटी घटना भी शामिल है 4 स्रोत- एनआईएसटी एसपी 800-82 रेव 2 5 सूचना परिसंपत्ति परिभाषा को बैंक फॉर इंटरनेशनल सेटलमेंट्स एंड इंटरनेशनल ऑर्गनाइजेशन ऑफ सिक्योरिटीज कमीशन के जून 2016 के प्रकाशन "वित्तीय बाजार के बुनियादी ढांचे के लिए साइबर प्रत्यास्थता पर मार्गदर्शन" से अनुकूलित है। 7 स्रोत - आईएसओ/आईईसी 24775-2:2021 से संदर्भित 8 शाखा मोड के माध्यम से भारत में परिचालन करने वाले विदेशी बैंकों को शाखा स्तर पर इस मास्टर निदेश में निर्दिष्ट किसी भी समिति (बोर्ड या कार्यकारी स्तर) का गठन करने की आवश्यकता नहीं है। जब तक निर्धारित समितियों के लिए उल्लिखित अभिशासन दायित्वों/जिम्मेदारियों को पूरा किया जाता है, तब तक वे इस मास्टर निदेश के अनुपालन के लिए कार्यालय/मुख्य कार्यालय/क्षेत्रीय/आंचलिक समितियों को नियंत्रित करने का लाभ उठा सकते हैं। 9 "पर्याप्त आईटी विशेषज्ञता" का अर्थ है कि व्यक्ति के पास सूचना प्रणाली के प्रबंधन और/या प्रौद्योगिकी/साइबर सुरक्षा पहल/परियोजनाओं के नेतृत्व/मार्गदर्शन करने का न्यूनतम सात वर्ष का अनुभव है। ऐसे सदस्य को व्यापक स्तर पर व्यावसायिक प्रक्रियाओं और ऐसी प्रक्रियाओं पर आईटी के प्रभाव को भी समझना आना चाहिए। 10 यहां तकनीकी रूप से सक्षम होने का अर्थ सूचना प्रणालियों और संबंधित आईटी/साइबर जोखिमों को समझने और उनका मूल्यांकन करने की क्षमता से होगा। 11 इस मास्टर निदेश में कारोबार निरंतरता/आपदोपरांत बहाली प्रबंधन का संदर्भ आईटी, आईएस, सूचना/साइबर सुरक्षा नियंत्रण और संचालन से जुड़े लोगों, प्रक्रियाओं और प्रणालियों पर ध्यान केंद्रित करते हुए परिचालन आघात-सहनीयता तक सीमित है। 12 चाहे किसी भी नाम से पुकारा जाए यथा मुख्य प्रौद्योगिकी अधिकारी या मुख्य सूचना अधिकारी, आदि। 13 आईटी अनुप्रयोग जो किसी कारोबारी प्रक्रिया की कार्यात्मकता को सक्षम करते हैं, चाहे वह ग्राहकों (संभावित ग्राहकों सहित), तीसरे पक्ष (या) आंतरिक कर्मचारियों को उत्पाद के रूप में प्रस्तुत किया जाता है, उन्हें मोटे तौर पर कारोबारी उत्पाद के रूप में संदर्भित किया जा सकता है। 14 डीसी किसी दिए गए एप्लिकेशन/सिस्टम के लिए प्राथमिक डेटा सेंटर को संदर्भित करता है और डीआर इसकी डिजास्टर रिकवरी साइट/वैकल्पिक साइट को संदर्भित करता है। 15 आरई के पास आईटी जोखिम प्रबंधन फ्रेमवर्क से अलग सूचना/साइबर सुरक्षा जोखिम प्रबंधन फ्रेमवर्क को निर्धारित करने की छूट हो। 16 इस मास्टर निदेश में 'घटना' शब्द का तात्पर्य 'साइबर घटना' से है 17 आवास वित्त कंपनियों के संबंध में, साइबर घटनाओं की सूचना एनएचबी को दी जाती रहेगी, आरबीआई को नहीं। 18 उदाहरण के लिए, आईएसओ 22301 देखें 19 डीसी किसी दिए गए एप्लिकेशन/सिस्टम के लिए प्राथमिक डेटा सेंटर को संदर्भित करता है और डीआर इसकी आपदोपरांत बहाली साइट/वैकल्पिक साइट को संदर्भित करता है। 20 अनुपालन उद्देश्य के लिए, परिपत्रों और उनमें संदर्भित रिपोर्टों के बदले आरई द्वारा इस मास्टर निर्देश का पालन करना पर्याप्त है। |