RBI/2010-11/494
DBS.CO.ITC.BC.No. 6/31.02.008/2010-11                                                  

29 अप्रैल, 2011

अध्यक्ष/मुख्य कार्यपालक अधिकारी
सभी अनुसूचित वाणिज्यिक बैंक (आरआरबी के अलावा)

महोदय/महोदया,

सूचना सुरक्षा, इलेक्ट्रॉनिक बैंकिंग, प्रौद्योगिकी जोखिम प्रबंधन और साइबर धोखाधड़ी पर कार्य समूह - अनुशंसाओं का कार्यान्वयन

जैसा कि आप जानते हैं, अप्रैल 2010 के मौद्रिक नीति वक्तव्य में घोषणा के बाद, आरबीआई के कार्यपालक निदेशक, श्री जी गोपालकृष्ण की अध्यक्षता में सूचना सुरक्षा, इलेक्ट्रॉनिक बैंकिंग, प्रौद्योगिकी जोखिम प्रबंधन और साइबर धोखाधड़ी पर कार्य समूह का गठन किया गया था। समूह ने बैंकों में सूचना प्रौद्योगिकी के उपयोग से उत्पन्न विभिन्न मुद्दों की जांच की और नौ व्यापक क्षेत्रों हेतु अपनी अनुशंसाएं प्रस्तुत की। ये क्षेत्र हैं आईटी अभिशासन, सूचना सुरक्षा, आईएस लेखा परीक्षा, आईटी संचालन, आईटी सेवा आउटसोर्सिंग, साइबर धोखाधड़ी, व्यवसाय निरंतरता योजना, ग्राहक जागरूकता कार्यक्रम और कानूनी पहलू। यह रिपोर्ट 21 जनवरी, 2011 को आरबीआई की वेबसाइट पर डाली गई थी। इसके बाद, 1 फरवरी, 2011 को रिपोर्ट पर सभी हितधारकों और जन सामान्य के विचार/टिप्पणियाँ आमंत्रित की गईं। विभिन्न प्रतिक्रियाओं को ध्यान में रखते हुए, उल्लिखित संबंधित क्षेत्रों में कार्यान्वयन हेतु अंतिम दिशानिर्देश अब बैंकों को जारी किए जा रहे हैं। बैंकों द्वारा कार्यान्वयन के लिए दिशानिर्देश इसके साथ संलग्न हैं।

(बी) ये दिशानिर्देश "सभी के लिए एक जैसे" नहीं हैं और इन अनुशंसाओं का कार्यान्वयन जोखिम आधारित और बैंकों द्वारा की जाने वाली गतिविधियों की प्रकृति और दायरे तथा बैंक में प्रचलित प्रौद्योगिकी वातावरण और व्यावसायिक प्रक्रियाओं के लिए प्रौद्योगिकी द्वारा प्रदान किए गए समर्थन के अनुरूप होना चाहिए। व्यावसायिक प्रक्रियाओं का समर्थन करने के लिए प्रौद्योगिकी का व्यापक लाभ उठाने वाले बैंकों से परिपत्र में उल्लिखित सभी शर्तों को लागू करने की अपेक्षा की जाएगी। उदाहरण के लिए, जो बैंक इंटरनेट बैंकिंग में लेनदेन संबंधी सुविधाएं प्रदान नहीं करते हैं, उन्हें दिशानिर्देशों में उल्लिखित लेनदेन संबंधी इंटरनेट बैंकिंग सुविधा के लिए विशिष्ट उपायों को लागू करने की आवश्यकता नहीं होगी। इसके अलावा, "आईटी ऑपरेशंस" अध्याय में विभिन्न निर्देश जैसे विस्तृत कॉन्फ़िगरेशन प्रबंधन प्रथाएँ उन बैंकों के लिए आवश्यक नहीं हैं जो आंतरिक रूप से महत्वपूर्ण एप्लीकेशनों को विकसित नहीं करते या रखते नहीं हैं, हालांकि ऐसी सेवाएं प्रदान करने वाले बाहरी विक्रेता से ऐसी प्रथाओं की उम्मीद की जा सकती है।

(सी) समूह ने स्व-निहित और व्यापक दिशानिर्देश तैयार करने का प्रयास किया था। इसके परिणामस्वरूप आरबीआई द्वारा पहले से ही निर्धारित कुछ दिशानिर्देशों का दोहराव हुआ है, उदाहरण के लिए, सूचना सुरक्षा, आउटसोर्सिंग, बीसीपी और आईएस ऑडिट से संबंधित कुछ क्षेत्रों में। हालाँकि, वर्ष 2002 में निर्धारित कंप्यूटर लेखा परीक्षा के लिए चेकलिस्ट जैसे कुछ दिशानिर्देश हैं, जिन्हें पूरी तरह नजरअंदाज नहीं किया जा सकता है क्योंकि उनके कवरेज की प्रकृति अलग है। पूर्व के दिशानिर्देश के साथ सीधे टकराव की स्थिति में, नया दिशानिर्देश बैंकों द्वारा कार्यान्वयन का आधार होगा। अन्यथा, पूर्व के निर्धारित प्रासंगिक दिशानिर्देश इसके साथ जारी वर्तमान दिशानिर्देशों के सहायक होंगे। आरबीआई का प्रयास होगा कि संलग्न दिशानिर्देशों को उचित समय में संबंधित विषय क्षेत्रों पर प्रासंगिक पुराने और नए परिपत्रों को शामिल करते हुए एक मास्टर परिपत्र के रूप में विकसित किया जाए। इस मामले में किसी और स्पष्टीकरण की स्थिति में, बैंक आगे के मार्गदर्शन के लिए आरबीआई से संपर्क कर सकते हैं।

(डी) असाधारण परिस्थितियों को छोड़कर, जहां कानूनी कारणों अथवा बढ़ी हुई सुरक्षा के लिए या उदाहरणात्मक उद्देश्य के लिए एक विशिष्ट तकनीक/पद्धति का सुझाव दिया जा सकता है, समूह की रिपोर्ट काफी हद तक प्रौद्योगिकी निरपेक्ष थी। यह स्पष्ट किया जाता है कि कानूनी रूप से जहां आवश्यक हो उसे छोड़कर, बैंक गहन मूल्यांकन अभ्यास करने के बाद नवें प्रगतियों के आधार पर किसी अन्य समकक्ष/बेहतर और मजबूत तकनीक/पद्धति पर विचार कर सकते हैं।

(ई) बैंकों ने परिपत्र में बताई गई कुछ या कई आवश्यकताओं को पहले ही लागू कर दिया होगा या कर रहे होंगे। दिशानिर्देशों के कार्यान्वयन के लिए केंद्रित परियोजना उन्मुख दृष्टिकोण प्रदान करने के लिए, बैंकों को अपनी वर्तमान स्थिति और परिपत्र में निर्धारित शर्तों के बीच एक औपचारिक अंतर का विश्लेषण करने और दिशानिर्देशों का अनुपालन करने एवं अंतर को संबोधित करने के लिए एक समयबद्ध कार्य योजना बनाने की आवश्यकता होगी। हालाँकि, बैंकों को 31 अक्टूबर, 2011 तक बुनियादी संगठनात्मक ढांचे के कार्यान्वयन को सुनिश्चित करने की आवश्यकता है और ऐसी नीतियों और प्रक्रियाओं को लागू करना होगा जिनके लिए व्यापक बजटीय समर्थन बुनियादी ढाँचे या प्रौद्योगिकी परिवर्तन की आवश्यकता नहीं है। शेष दिशानिर्देशों को एक वर्ष की अवधि के भीतर लागू करने की आवश्यकता है जब तक कि परिपत्र में लंबी समय-सीमा का उल्लेख न किया गया हो। कुछ प्रावधान ऐसे भी हैं जो अनुशंसात्मक प्रकृति के हैं, जिनका कार्यान्वयन बैंकों के विवेक पर छोड़ दिया गया है।

(एफ) इस तथ्य को देखते हुए कि दिशानिर्देशों से मूल रूप से बैंकिंग प्रक्रियाओं में सुरक्षा, बचाव, दक्षता बढ़ाने की उम्मीद की जाती है, जिससे बैंकों और उनके ग्राहकों को लाभ होगा, सिफारिशों के कार्यान्वयन में प्रगति की निगरानी शीर्ष प्रबंधन द्वारा निरंतर आधार पर की जा सकती है और समीक्षा की जा सकती है और कार्यान्वयन की स्थिति को तिमाही अंतराल पर बोर्ड के समक्ष रखा जा सकता है। बैंक 2011-12 से अपनी वार्षिक रिपोर्ट में इन दिशानिर्देशों में दर्शाए गए विभिन्न विषय क्षेत्रों के संबंध में किए गए उपायों को भी शामिल कर सकते हैं।

(जी) कार्यान्वयन के लिए सुझाए गए उपाय सदैव स्थिर नहीं रखे जा सकते। बैंकों को नवीन प्रगति और उभरती चिंताओं के आधार पर अपनी नीतियों, प्रक्रियाओं और प्रौद्योगिकियों को सक्रिय रूप से बनाने/बेहतर करने/संशोधित करने की आवश्यकता है।

(एच) भारतीय रिज़र्व बैंक बैंकों के साथ अपनी त्रैमासिक चर्चाओं में दिशानिर्देशों के कार्यान्वयन में प्रगति की समीक्षा करेगा और (2011-12 की अवधि के लिए) अगले एएफआई चक्र से शुरू करते हुए बैंकों के संचालन की प्रकृति और दायरे के अनुरूप दिशानिर्देशों के कार्यान्वयन की प्रभावकारिता की व्यापक जांच करेगा।

(आई) कृपया प्राप्ति की सूचना दें।

भवदीय

(जी मोहन राव)
प्रभारी मुख्य महाप्रबंधक

संलग्न: सूचना सुरक्षा, इलेक्ट्रॉनिक बैंकिंग, प्रौद्योगिकी जोखिम प्रबंधन और साइबर धोखाधड़ी पर दिशानिर्देश