आरबीआई/2023-24/107
डीओएस.सीओ.सीएसआईटीईजी/एसईसी.7/31.01.015/2023-24
7 नवम्बर, 2023
अध्यक्ष/प्रबंध निदेशक/मुख्य कार्यपालक अधिकारी
अनुसूचित वाणिज्यिक बैंक (क्षेत्रीय ग्रामीण बैंकों को छोड़कर);
लघु वित्त बैंक; भुगतान बैंक;
गैर-बैंकिंग वित्तीय कंपनियाँ;
ऋण सूचना कंपनियाँ; और
अखिल भारतीय वित्तीय संस्थान (एक्जिम बैंक, नाबार्ड, एनएबीएफआईडी, एनएचबी और सिडबी)
महोदया/महोदय,
सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाओं पर मास्टर निदेश
कृपया 10 फरवरी, 2022 को द्विमासिक मौद्रिक नीति वक्तव्य 2021-22 के साथ जारी विकासात्मक और विनियामक नीतियों पर वक्तव्य के पैराग्राफ IV (8) को देखें, जिसमें यह घोषणा की गई थी कि मसौदा दिशानिर्देश, सूचना प्रौद्योगिकी (आईटी) अभिशासन और नियंत्रण, व्यवसाय निरंतरता प्रबंधन तथा सूचना प्रणाली लेखापरीक्षा से संबंधित अनुदेशों को अद्यतित और समेकित कर भारतीय रिजर्व बैंक द्वारा जारी किया जाएगा।
2. तदनुसार, इस विषय पर एक मसौदा मास्टर निदेश अक्टूबर 2022 में सार्वजनिक टिप्पणियों के लिए प्रकाशित किया गया था। प्राप्त फीडबैक के आधार पर, अंतिम भारतीय रिजर्व बैंक (सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाएं) निदेश, 2023 इसके साथ संलग्न हैं।
3. मास्टर निदेश के हिंदी और अंग्रेजी पाठ में यदि कोई असंगति या अस्पष्टता पाई जाती है तो मास्टर निदेश का अंग्रेजी पाठ मान्य होगा।
भवदीय,
(टी.के. राजन)
मुख्य महाप्रबंधक
संलग्न: भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाएं) निदेश, 2023
विषय-सूची
आरबीआई/2023-24/xx
डीओएस.सीओ.सीएसआईटीईजी/एसईसी.7/31.01.015/2023-24
7 नवम्बर, 2023
भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाएं) दिशानिर्देश, 2023
बैंककारी विनियमन अधिनियम, 1949 की धारा 35ए ; भारतीय रिज़र्व बैंक अधिनियम, 1934 की धारा 45एल और ऋण सूचना कंपनी (विनियमन) अधिनियम, 2005 की धारा 11, और इस संबंध में भारतीय रिज़र्व बैंक को सक्षम करने वाले अन्य सभी प्रावधान/कानून द्वारा प्रदत्त शक्तियों का प्रयोग करते हुए रिज़र्व बैंक इस बात से संतुष्ट होकर कि ऐसा करना जनहित में आवश्यक और समीचीन है, एतद्वारा निदेश जारी करता है जो यहां इसके बाद निर्दिष्ट है।
अध्याय I – परिचयात्मक वक्तवय
1. संक्षिप्त शीर्षक और प्रारंभ
(ए) इन निदेशों को भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाएं) निदेश, 2023 कहा जाएगा।
(बी) ये निदेश आईटी अभिशासन, जोखिम, नियंत्रण, आश्वासन प्रथाओं और व्यवसाय निरंतरता/आपदोपरांत बहाली प्रबंधन पर दिशानिर्देशों, अनुदेशों और परिपत्रों को शामिल, समेकित और अद्यतन करते हैं। निरस्त किए गए परिपत्रों की सूची इस मास्टर निदेश के अध्याय VII में दी गई है।
(सी) ये निदेश 1 अप्रैल, 2024 से लागू होंगे।
2. प्रयोज्यता
(ए) ये निदेश निम्नलिखित संस्थाओं (इन निदेशों में सामूहिक रूप से 'विनियमित संस्थाएं' या 'आरई' के रूप में संदर्भित) पर लागू होंगे :
-
बैंककारी विनियमन अधिनियम, 1949 की धारा 5 की उपधारा (सी), (डीए) और (एनसी) के तहत परिभाषित सभी बैंकिंग कंपनियां1, संबंधित नए बैंक और भारतीय स्टेट बैंक (यहां इसके बाद सामूहिक रूप से 'वाणिज्यिक बैंक' के रूप में संदर्भित).
-
भारतीय रिजर्व बैंक अधिनियम, 1934 की धारा 45आई के खंड (एफ) के तहत यथाा परिभाषित और 'माप आधारित विनियमन (एसबीआर) : एनबीएफसी के लिए एक संशोधित विनियामक फ्रेमवर्क पर 22 अक्टूबर 2021 के आरबीआई परिपत्र DOR.CRE.REC.No.60/03.10.001/2021-22 के अनुबंध के पैराग्राफ 1.5, 1.4 और 1.3 में क्रमशः परिभाषित 'शीर्ष स्तर', 'ऊपरी स्तर' और मध्यम स्तर में शामिल गैर-बैंकिंग वित्तीय कंपनियां (यहां इसके बाद 'एनबीएफसी' के रूप में संदर्भित)।
-
ऋण सूचना कंपनी (विनियमन) अधिनियम, 2005 की धारा 2 के खंड (ई) के तहत यथा परिभाषित ऋण सूचना कंपनियां (यहां इसके बाद 'ऋण सूचना कंपनी' या 'सीआईसी' के रूप में संदर्भित)।
-
एक्जिम बैंक, राष्ट्रीय कृषि एवं ग्रामीण विकास बैंक ('नाबार्ड'), राष्ट्रीय अवसंरचना वित्तपोषण और विकास बैंक ('एनएबीएफआईडी'), राष्ट्रीय आवास बैंक ('एनएचबी') और भारतीय लघु उद्योग विकास बैंक ('सिडबी') जैसा कि भारतीय निर्यात-आयात बैंक अधिनियम, 1981; राष्ट्रीय कृषि और ग्रामीण विकास बैंक अधिनियम, 1981; राष्ट्रीय अवसंरचना वित्तपोषण और विकास बैंक अधिनियम 2021; राष्ट्रीय आवास बैंक अधिनियम, 1987 और भारतीय लघु उद्योग विकास बैंक अधिनियम, 1989 द्वारा क्रमशः स्थापित किया गया है (यहां इसके बाद 'अखिल भारतीय वित्तीय संस्थान' या 'एआईएफआई' के रूप में संदर्भित)।
(बी) ये निदेश इन पर लागू नहीं होंगे:
-
स्थानीय क्षेत्र बैंक
-
एनबीएफसी- कोर निवेश कंपनियां
(सी) शाखा मोड के माध्यम से भारत में परिचालन करने वाले विदेशी बैंकों के मामले में, इन निदेशों में बोर्ड या निदेशक मंडल के संदर्भ को नियंत्रण कार्यालय/प्रधान कार्यालय को संदर्भित रूप में पढ़ा जाना चाहिए, जो भारत में शाखा परिचालन की निगरानी करता है। इसके अलावा, ऐसे विदेशी बैंक इन निदेशों की प्रयोज्यता के संदर्भ में 'अनुपालन या स्पष्टीकरण' दृष्टिकोण के अधीन होंगे। 'अनुपालन या स्पष्टीकरण' दृष्टिकोण पर्यवेक्षी प्रक्रिया के हिस्से के रूप में ऐसे विदेशी बैंकों को इन निदेशों के किसी विशिष्ट भाग से विचलन की अनुमति देगा, जो पर्यवेक्षी प्रक्रिया जिनका एतदर्थ उचित स्पष्टीकरण रिज़र्व बैंक द्वारा जांच और स्वीकृति के अधीन होगा।
3. परिभाषाएँ2
(ए) इन निदेशों में, जब तक कि संदर्भानुसार कुछ और न लगे, निम्न शब्दों का वही अर्थ होगा जो नीचे दिया गया है:
-
साइबर' – व्यक्तियों, प्रक्रियाओं, डेटा और सूचना प्रणालियों के बीच परस्पर क्रियाओं हेतु परस्पर संबद्ध सूचना अवसंरचना के माध्यम से, के भीतर या उससे संबंधित
-
साइबर घटना'- सूचना प्रणाली में कोई भी अवलोकन योग्य घटना। साइबर घटनाएँ कभी-कभी संकेत देती हैं कि कोई साइबर घटना घटित हो रही है।
-
‘साइबर सुरक्षा' - साइबर माध्यम द्वारा सूचना और/या सूचना प्रणाली की गोपनीयता, अखंडता और उपलब्धता का संरक्षण। इसके अलावा, अन्य गुण, जैसे कि प्रामाणिकता, जवाबदेही, गैर-अस्वीकरण और विश्वसनीयता भी शामिल हो सकते हैं।
-
'साइबर घटना'3 का अर्थ ऐसी साइबर घटना से होगा जो किसी सूचना आस्ति की साइबर सुरक्षा पर प्रतिकूल प्रभाव डालती है, चाहे वह दुर्भावनापूर्ण गतिविधि से उत्पन्न हुई हो या नहीं।
-
'साइबर-हमला' - आस्ति को नुकसान पहुंचाने, बाधित करने या अनधिकृत पहुंच प्राप्त करने के लिए साइबर माध्यम द्वारा कमजोरियों का फायदा उठाने का दुर्भावनापूर्ण प्रयास।
-
'विसैन्यीकृत क्षेत्र4’ या 'डीएमजेड' एक परिधि नेटवर्क खंड है जो तार्किक रूप से आंतरिक और बाहरी नेटवर्क के बीच है।
-
सूचना आस्ति5’ - डेटा, उपकरण का कोई भी भाग या परिवेश का कोई अन्य घटक जो सूचना-संबंधित गतिविधियों का समर्थन करता है। सूचना आस्तियों में सूचना प्रणाली, डेटा, हार्डवेयर और सॉफ्टवेयर शामिल हैं।
-
'सूचना प्रणाली' - अनुप्रयोगों, सेवाओं, सूचना प्रौद्योगिकी आस्तियों या अन्य सूचना-हैंडलिंग घटकों का सेट, जिसमें परिचालन परिवेश और नेटवर्क शामिल हैं।
-
'आईटी जोखिम'6 - किसी उद्यम के भीतर आईटी के उपयोग, स्वामित्व, संचालन, भागीदारी, प्रभाव और आईटी के अपनाने से जुड़ा कारोबारी जोखिम।
-
'विशेषाधिकार प्राप्त उपयोगकर्ता'7 उस उपयोगकर्ता को संदर्भित करता है, जिसे कार्य और/या भूमिका के आधार पर सूचना प्रणाली के भीतर शक्तियां आवंटित की गई हैं, जो कि अधिकांश उपयोगकर्ताओं के लिए उपलब्ध शक्तियों से काफी अधिक हैं।
(बी) यहां परिभाषित किए जाने तक सभी अभिव्यक्तियों का वही अर्थ होगा जो उन्हें बैंककारी विनियमन अधिनियम, 1949 या भारतीय रिज़र्व बैंक अधिनियम, 1934 या साख सूचना कंपनी (विनियमन) अधिनियम, 2005 या सूचना प्रौद्योगिकी अधिनियम, 2000 या कंपनी अधिनियम, 2013 के तहत दिया गया है और उसके तहत बनाए गए नियम या कोई सांविधिक संशोधन या उसका पुन: अधिनियमन या जैसा कि आरबीआई के निदेशों / परिपत्रों में उपयोग किया जाता है, जैसा भी मामला हो।
अध्याय II - आईटी अभिशासन
4. आईटी गवर्नेंस फ्रेमवर्क
(ए) आईटी अभिशासन के प्रमुख फोकस क्षेत्रों में रणनीतिक संरेखण, जोखिम प्रबंधन, संसाधन प्रबंधन, कार्यनिष्पादन प्रबंधन और कारोबार निरंतरता/आपदोपरांत बहाली प्रबंधन शामिल होंगे।
(बी) आरई उपर्युक्त फोकस क्षेत्रों के आधार पर एक मजबूत आईटी अभिशासन फ्रेमवर्क स्थापित करेंगे, जो अन्य बातों के अलावा:
-
आरई के कारोबारी/रणनीतिक उद्देश्यों को पूरा करने के लिए आवश्यक अभिशासन अवसंरचना और प्रक्रियाओं को निर्दिष्ट करता है;
-
निदेशक मंडल (बोर्ड)/बोर्ड स्तरीय समिति और वरिष्ठ प्रबंधन की भूमिकाएं (प्राधिकार सहित) और जिम्मेदारियां निर्दिष्ट करता है; और
-
आईटी और साइबर/सूचना सुरक्षा जोखिमों की जवाबदेही और शमन सुनिश्चित करने के लिए पर्याप्त निगरानी तंत्र शामिल हैं।
(सी) उद्यम-व्यापी जोखिम प्रबंधन नीति या परिचालन जोखिम प्रबंधन नीति में आईटी से संबंधित जोखिमों (अंतर्निहित और संभावित जोखिम दोनों) का आवधिक मूल्यांकन भी शामिल होगा।
5. निदेशक मंडल की भूमिका
(ए) आईटी, सूचना आस्ति, कारोबार निरंतरता, सूचना सुरक्षा, साइबर सुरक्षा (घटना प्रतिक्रिया और बहाली प्रबंधन/साइबर संकट प्रबंधन सहित) से संबंधित रणनीतियों और नीतियों को निदेशक मंडल द्वारा अनुमोदित किया जाएगा।
(बी) ऐसी रणनीतियों और नीतियों की बोर्ड द्वारा कम से कम वार्षिक समीक्षा की जाएगी।
6. मंडल की आईटी रणनीति समिति
(ए) आरई एक बोर्ड-स्तरीय आईटी रणनीति समिति (आईटीएससी)8 की स्थापना करेगा।
(बी) आईटीएससी का गठन करते समय, आरई यह सुनिश्चित करेंगे:
-
सदस्यों के रूप में न्यूनतम तीन निदेशक हों;
-
आईटीएससी का अध्यक्ष एक स्वतंत्र निदेशक होगा और उसके पास सूचना प्रौद्योगिकी पहल के प्रबंधन/मार्गदर्शन में पर्याप्त आईटी विशेषज्ञता9 होगी; और
-
सदस्य तकनीकी10 रूप से सक्षम हो।
(सी) आईटीएससी की बैठक कम से कम तिमाही आधार पर अवश्य होगी।
(डी) आईटीएससी निम्नलिखित कार्य करेगा:
-
सुनिश्चित करना कि आरई ने एक प्रभावी आईटी रणनीतिक योजना प्रक्रिया लागू की है;
-
आईटी रणनीति की तैयारी में मार्गदर्शन करना और यह सुनिश्चित करना कि आईटी रणनीति अपने कारोबारी उद्देश्यों की पूर्ति के लिए आरई की समग्र रणनीति के साथ संरेखित हो;
-
पुष्टि करना कि आईटी अभिशासन और सूचना सुरक्षा अभिशासन संरचना जवाबदेही को बढ़ावा देती है, प्रभावी और कुशल है, इसमें पर्याप्त कुशल संसाधन, अच्छी तरह से परिभाषित उद्देश्य और संगठन में प्रत्येक स्तर के लिए स्पष्ट जिम्मेदारियां हैं;
-
सुनिश्चित करना कि आरई ने आईटी और साइबर सुरक्षा जोखिमों के आकलन और प्रबंधन के लिए प्रक्रियाएं स्थापित की हैं;
-
सुनिश्चित करना कि आईटी कार्य (आईटी सुरक्षा सहित), साइबर सुरक्षा के लिए बजटीय आवंटन आरई की आईटी परिपक्वता, डिजिटल डेप्थ, खतरे के माहौल और उद्योग मानकों के अनुरूप हैं और बताए गए उद्देश्यों को पूरा करने के लिए उपयोग किए जाते हैं; और
-
आरई की कारोबार निरंतरता योजना और आपदोपरांत बहाली प्रबंधन11 की पर्याप्तता और प्रभावशीलता की कम से कम वार्षिक आधार पर समीक्षा करना।
7. वरिष्ठ प्रबंधन एवं आईटी संचालन समिति
(ए) आरई का वरिष्ठ प्रबंधन अन्य बातों के साथ-साथ यह भी सुनिश्चित करेगा कि:
-
बोर्ड द्वारा अनुमोदित आईटी रणनीति का निष्पादन हो रहा है;
-
आईटी/आईएस और उनका सहायक बुनियादी फ्रेमवर्क प्रभावी ढंग से और कुशलता से काम कर रहा है;
-
आवश्यक आईटी जोखिम प्रबंधन प्रक्रियाएं मौजूद हैं और आरई में आईटी जोखिम जागरूकता और साइबर सुरक्षा प्रथाओं की संस्कृति तैयार की गई है;
-
आरई की साइबर सुरक्षा स्थिति मजबूत है; और
-
कुल मिलाकर, आईटी कारोबार संचालन में उत्पादकता, प्रभावशीलता और दक्षता में योगदान देता है।
(बी) आरई आईटी और कारोबारी कार्यों से वरिष्ठ प्रबंधन स्तर पर प्रतिनिधित्व के साथ एक आईटी संचालन समिति की स्थापना करेंगे।
(सी) आईटी संचालन समिति की जिम्मेदारियां अन्य बातों के साथ-साथ ये भी होंगी:
-
रणनीतिक आईटी योजना, आईटी कार्यनिष्पादन की निगरानी और कारोबारी आवश्यकताओं के साथ आईटी गतिविधियों को संरेखित करने में आईटीएससी की सहायता करना;
-
कारोबार की निरंतरता और आपदोपरांत बहाली के लिए लागू प्रक्रियाओं की निगरानी करना;
-
सांविधिक और विनियामकीय अनुपालन के अनुरूप एक मजबूत आईटी अवसंरचना का कार्यान्वयन सुनिश्चित करना; और
-
आईटी संचालन समिति की गतिविधियों पर समय-समय पर आईटीएससी और सीईओ को अपडेट करना।
(डी) आईटी संचालन समिति कम से कम तिमाही आधार पर बैठक अवश्य करेगी।
8. आईटी कार्य के प्रमुख
(ए) आरई आईटी से संबंधित पहलुओं में पर्याप्त वरिष्ठ स्तर के, तकनीकी रूप से सक्षम और अनुभवी अधिकारी को आईटी कार्य के प्रमुख12 के रूप में नियुक्त करेगा।
(बी) आईटी कार्य का प्रमुख, अन्य बातों के साथ-साथ, निम्नलिखित के लिए भी जिम्मेदार होगा:
-
यह सुनिश्चित करना कि आईटी परियोजनाओं/पहलों का निष्पादन आरई की आईटी नीति और आईटी रणनीति के अनुरूप है;
-
यह सुनिश्चित करना कि आरई में आईटी कार्यों में सहयोग करने के लिए एक प्रभावी संगठनात्मक संरचना है; और
-
एक प्रभावी आपदोपरांत बहाली व्यवस्था और कारोबार निरंतरता रणनीति/योजना स्थापित करना।
(सी) सुरक्षा की पहली पंक्ति के रूप में, आईटी कार्य के प्रमुख (i) आरई की सूचना संपत्तियों को सुरक्षित करने के लिए (ii) आईटी से संबंधित पहलुओं पर मौजूदा आंतरिक नीतियों, नियामक और कानूनी आवश्यकताओं का अनुपालन करने के लिए, आईटी नियंत्रणों और आईटी जोखिमों के प्रभावी आकलन, मूल्यांकन और प्रबंधन को सुनिश्चित करेंगे, जिसमें मजबूत आंतरिक नियंत्रणों का कार्यान्वयन भी शामिल है।
अध्याय III - आईटी अवसंरचना और सेवा प्रबंधन
9. आईटी सेवा प्रबंधन
(ए) आरई को अपने संपूर्ण आईटी परिवेश (डीआर स्थलों सहित) की संचालन आघात-सहनीयता को सुनिश्चित करने हेतु अपनी सूचना प्रणाली और बुनियादी ढांचे का समर्थन करने के लिए एक मजबूत आईटी सेवा प्रबंधन ढांचा स्थापित करना होगा।
(बी) कर्तव्यों के प्रभावी पृथक्करण को सुनिश्चित करते हुए आईटी संचालन को प्रबंधित करने के लिए एक सेवा स्तर प्रबंधन (एसएलएम) प्रक्रिया शुरू की जाएगी।
(सी) आरई के संचालन के लिए उनकी गंभीरता के आधार पर आरई सूचना आस्तियों के सुरक्षा वर्गीकरण (गोपनीयता, अखंडता और उपलब्धता के संदर्भ में) की पहचान और मैपिंग सुनिश्चित करेंगे।
(डी) व्यवसाय संचालन की निर्बाध निरंतरता के लिए, आरई को पुराने और असमर्थित हार्डवेयर या सॉफ्टवेयर का उपयोग करने से बचना चाहिए और निरंतर आधार पर सॉफ्टवेयर के समर्थन की समाप्ति (ईओएस) तिथि और आईटी हार्डवेयर के वार्षिक रखरखाव अनुबंध (एएमसी) तिथियों की सतत आधार पर निगरानी करनी चाहिए।
(ई) आरई को ईओएस की स्थिति तक पहुंचने से पहले समयबद्ध तरीके से हार्डवेयर और सॉफ्टवेयर के प्रतिस्थापन के लिए एक प्रौद्योगिकी नवीनीकरण योजना विकसित करनी होगी।
10. तृतीय-पक्ष व्यवस्थाएँ
जहां सूचना प्रौद्योगिकी/साइबर सुरक्षा पारिस्थितिकी तंत्र में तीसरे पक्ष की व्यवस्था भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी सेवाओं की आउटसोर्सिंग) निदेश, 2023 की प्रयोज्यता के भीतर नहीं है, वहाँ आरई उचित विक्रेता जोखिम आकलन प्रक्रिया और आकलित किए गए जोखिम और महत्त्व का आनुपातिक नियंत्रण स्थापित करेंगे, इसके साथ ही वे :
(ए) संकेंद्रण जोखिम को कम करेंगे;
(बी) हितों के किसी भी टकराव को शामिल या संबोधित करेंगे;
(सी) विफलता के एकल बिंदु से जुड़े जोखिमों को कम करेंगे;
(डी) ग्राहक डेटा की सुरक्षा के लिए लागू कानूनी, नियामक आवश्यकताओं और मानकों का अनुपालन करेंगे;
(ई) उच्च उपलब्धता प्रदान करेंगे (निर्बाध ग्राहक सेवा के लिए); और
(एफ) आपूर्ति श्रृंखला जोखिमों को प्रभावी ढंग से प्रबंधित करेंगे।
11. क्षमता प्रबंधन
(ए) आरई यह सुनिश्चित करेंगे कि सूचना प्रणाली और बुनियादी ढांचे कारोबारी कार्यों का समर्थन करने में सक्षम हैं और सभी सेवा वितरण चैनलों की उपलब्धता सुनिश्चित करते हैं।
(बी) वर्ष में एक या अधिक बार, आरई सक्रिय रूप से आईटी संसाधनों की क्षमता आवश्यकता का आकलन करेंगे। आरई यह सुनिश्चित करेंगे कि आरई की आईटी रणनीति के अनुसार घटकों, सेवाओं, सिस्टम संसाधनों, सहायक बुनियादी ढांचे में आईटी क्षमता योजना पिछले रुझानों (पीक उपयोग), वर्तमान कारोबारी आवश्यकताओं और अनुमानित भविष्य की आवश्यकताओं के अनुरूप है।
(सी) आईटी क्षमता आवश्यकताओं के आकलन और मामलों के समाधान के लिए किए गए उपायों की समीक्षा आईटीएससी द्वारा की जाएगी।
12. परियोजना प्रबंधन
(ए) आरई को उनके द्वारा शुरू की गई आईटी परियोजनाओं के लिए एक सुसंगत और औपचारिक रूप से परिभाषित परियोजना प्रबंधन दृष्टिकोण का पालन करना होगा। परियोजना प्रबंधन दृष्टिकोण, अन्य बातों के साथ-साथ, परियोजना जोखिमों और प्रगति की प्रभावी निगरानी और प्रबंधन के लिए उचित हितधारक की भागीदारी को सक्षम करेगा।
(बी) नई या उभरती प्रौद्योगिकियों, उपकरणों को अपनाते समय, या प्रौद्योगिकी स्टैक में अपने मौजूदा ढांचे को नया रूप देते समय, आरई को एक मानक उद्यम संरचना योजना पद्धति या ढांचे का पालन करना होगा।
(सी) नई या उभरती प्रौद्योगिकियों को अपनाया जाना जोखिम वहन क्षमता और आरई की समग्र व्यवसाय/आईटी रणनीति के समतुल्य होगा। इसे किसी व्यवसाय द्वारा सुरक्षित और आघात-सहनीय तरीके से जानकारी के इष्टतम निर्माण, उपयोग या साझा करने की सुविधा प्रदान करनी चाहिए।
(डी) आरई एप्लिकेशन और सूचना प्रणालियों के बीच डेटा साझा करने को सक्षम करने और डेटा की सामान्य समझ को बढ़ावा देने के लिए एंटरप्राइज़ डेटा डिक्शनरी रखेंगे।
(ई) आरई यह सुनिश्चित करेंगे कि सॉफ्टवेयर अनुप्रयोगों का रखरखाव और आवश्यक समर्थन सॉफ्टवेयर विक्रेताओं द्वारा प्रदान किया जाए और इसे औपचारिक करार के माध्यम से लागू किया जाए।
(एफ) आरई को अपने विक्रेताओं से सभी महत्वपूर्ण एप्लिकेशन के लिए सोर्स कोड प्राप्त करने होंगे। जहां सोर्स कोड प्राप्त करना संभव नहीं है, वहाँ आरई विक्रेता द्वारा चूक के जोखिम को पर्याप्त रूप से कम करने के लिए एक सोर्स कोड एस्क्रो व्यवस्था या अन्य कोई व्यवस्था करेंगे। आरई यह सुनिश्चित करेंगे कि सभी प्रॉडक्ट अपडेट और प्रोग्राम फिक्स सोर्स कोड एस्क्रो व्यवस्था में शामिल हों।
(जी) आरई को एप्लिकेशन डेवलपर या विक्रेता से एक प्रमाणपत्र या लिखित पुष्टि प्राप्त करनी होगी जिसमें वर्णित हो कि एप्लिकेशन ज्ञात सुभेद्यताओं, मैलवेयर और कोड में किसी भी गुप्त चैनल से मुक्त है। जब भी कोड में अपग्रेड सहित कोई महत्वपूर्ण परिवर्तन होता है, तो इसके लिए भी प्रमाणपत्र या लिखित पुष्टि प्राप्त की जाएगी।
(एच) कारोबारी उत्पाद13 के रूप में पेश किए जाने वाले किसी भी नए आईटी एप्लिकेशन को उत्पाद अनुमोदन और गुणवत्ता आश्वासन प्रक्रिया के अधीन किया जाएगा।
13. परिवर्तन और पैच प्रबंधन
आरई निम्नलिखित को सुनिश्चित करने के लिए परिवर्तन और पैच प्रबंधन हेतु प्रलेखित नीति(यों) और प्रक्रियाओं को स्थापित करेगा:
(ए) पैच/परिवर्तन लागू करने (या किसी विशेष पैच/परिवर्तन अनुरोध को लागू नहीं करने) के कारोबारी प्रभाव का आकलन किया जाता है;
(बी) पैच/परिवर्तन अपेक्षित अनुमोदन के साथ सुरक्षित व समयबद्ध तरीके से लागू/क्रियान्वित किए जाते हैं और उसी भाँति उनकी समीक्षा भी की जाती है;
(सी) किसी एप्लिकेशन सिस्टम या डेटा में कोई भी परिवर्तन वास्तविक कारोबारी आवश्यकताओं के आधार पर और अनुमोदन प्रलेखीकरण द्वारा समर्थित होते हैं तथा एक सुदृढ़ परिवर्तन प्रबंधन प्रक्रिया के अधीन होते हैं; और
(डी) विफल परिवर्तनों/पैच परिनियोजन या अप्रत्याशित परिणामों से उबरने के लिए तंत्र स्थापित किया गया है।
14. डेटा माइग्रेशन नियंत्रण
आरई के पास डेटा माइग्रेशन के लिए एक व्यवस्थित प्रक्रिया निर्दिष्ट करने वाली एक प्रलेखित डेटा माइग्रेशन नीति होगी, जो डेटा अखंडता, पूर्णता और स्थिरता सुनिश्चित करेगी। नीति में, अन्य बातों के साथ-साथ, माइग्रेशन के प्रत्येक चरण में कारोबारी उपयोगकर्ताओं और एप्लिकेशन मालिकों से साइनऑफ़, ऑडिट ट्रेल्स के रखे जाने आदि से संबंधित प्रावधान शामिल होंगे।
15. लेखा-सत्यापन चिह्न
(ए) प्रत्येक आईटी एप्लिकेशन जो महत्वपूर्ण या संवेदनशील सूचना तक पहुंच सकता है या उसे प्रभावित कर सकता है, उसमें आवश्यक ऑडिट और सिस्टम लॉगिंग क्षमता होनी चाहिए और उसे लेखा-सत्यापन चिह्न प्रदान करने चाहिए।
(बी) ऑडिट ट्रेल विनियामक और विधिक आवश्यकताओं के अलावा आरई की कारोबारी आवश्यकताओं को भी पूरा करेगा। ऑडिट ट्रेल लेखा-परीक्षाकरण को आसान बनाने, आवश्यकता पड़ने पर फोरेंसिक साक्ष्य के रूप में कार्य करने और गैर-अस्वीकरण उद्देश्यों सहित विवाद समाधान में सहायता करने के लिए पर्याप्त रूप से विस्तृत होना चाहिए।
(सी) आरई किसी भी अनधिकृत गतिविधि का पता लगाने के लिए ऑडिट ट्रेल और सिस्टम लॉग की नियमित निगरानी के लिए एक प्रणाली स्थापित करेगा।
16. क्रिप्टोग्राफ़िक नियंत्रण
ट्रांसमिशन चैनलों, डेटा प्रसंस्करण और प्रमाणीकरण उद्देश्य में उपयोग की जाने वाली कुंजी लंबाई, एल्गोरिदम, सिफर सुइट और लागू प्रोटोकॉल मजबूत होंगे। आरई को अंतरराष्ट्रीय स्तर पर स्वीकृत और प्रकाशित मानकों को अपनाना होगा जिन्हें असुरक्षित/सुभेद्य के रूप में निंदित/प्रदर्शित नहीं किया गया है और ऐसे नियंत्रणों को लागू करने में शामिल कॉन्फ़िगरेशन मौजूदा कानूनों और विनियामक अनुदेशों के अनुरूप होंगे।
17. सीधे प्रसंस्करण के माध्यम से
(ए) डेटा के अनधिकृत संशोधन को रोकने के लिए, आरई यह सुनिश्चित करेंगे कि महत्वपूर्ण अनुप्रयोगों के संबंध में डेटा को एक प्रक्रिया से दूसरे में या एक एप्लिकेशन से दूसरे में अंतरित करते समय कोई मैन्युअल हस्तक्षेप या मैन्युअल संशोधन न हो।
(बी) प्रक्रियाओं या अनुप्रयोगों के बीच डेटा ट्रांसफर तंत्र का उचित परीक्षण किया जाना चाहिए, आवश्यक जांच और संतुलन के साथ सुरक्षित रूप से स्वचालित किया जाना चाहिए, और उचित प्रमाणीकरण तंत्र और ऑडिट ट्रेल के साथ "सीधे प्रसंस्करण" पद्धति के माध्यम से व्यवस्थित रूप से एकीकृत किया जाना चाहिए।
18. भौतिक एवं पर्यावरणीय नियंत्रण
(ए) आरई अपने द्वारा उपयोग किए जाने वाले डेटा सेंटर और आपदोपरांत बहाली स्थलों14 साइटों में उपयुक्त भौतिक एवं पर्यावरणीय नियंत्रण लागू करेंगे।
(बी) डीसी और डीआर स्थल भौगोलिक रूप से भली भांति अलग-अलग हों, ताकि दोनों स्थल भौगोलिक स्थिति से सम्बद्ध खतरे से प्रभावित न हों।
(सी) आरई यह सुनिश्चित करेंगे कि उनकी डीसी और डीआर साइटें आवश्यक ई-निगरानी तंत्र के अधीन हैं।
19. पहुँच नियंत्रण
(ए) सूचना आस्तियों तक पहुंच की अनुमति केवल वहीं दी जाएगी जहां वैध कारोबारी आवश्यकता है। आरई के पास प्रलेखित मानक और प्रक्रियाएं होंगी, जो आईटीएससी द्वारा अनुमोदित हैं एवं सूचना प्रणाली तक आवश्यकता-आधारित पहुँच को प्रशासित करने के लिए अद्यतित रखी गई हैं।
(बी) उन्नत सिस्टम पहुँच हकदार वाले कार्मिकों की उनकी सभी प्रणाली गतिविधियों को लॉग इन करके बारीकी से निगरानी की जाएगी और समय-समय पर समीक्षा की जाएगी।
(सी) आरई को आरई के जोखिम मूल्यांकन के आधार पर महत्वपूर्ण गतिविधियों i) महत्वपूर्ण सूचना प्रणालियों और ii) महत्वपूर्ण गतिविधियों के विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए बहु-कारक प्रमाणीकरण अपनाना होगा।
20. टेलीवर्किंग नियंत्रण
टेलीवर्किंग परिवेश में, आरई, अन्य बातों के साथ-साथ, यह करेगा:
(ए) सुनिश्चित करें कि उपयोग की गई प्रणालियाँ और वैकल्पिक कार्य स्थान से आरई की सूचना आस्तियों की मेजबानी करने वाले परिवेश तक दूरस्थ पहुंच सुरक्षित है;
(बी) महत्वपूर्ण प्रणालियों तक उद्यम की पहुंच (तार्किक) के लिए बहु-कारक प्रमाणीकरण लागू करें;
(सी) आरई के सिस्टम से संबद्ध/जुड़े सभी दूरस्थ-पहुँच उपकरणों की पहचान करने के लिए एक तंत्र स्थापित करें; और
(डी) सुनिश्चित करें कि टेलीवर्किंग में साझा/प्रस्तुत किया गया डेटा/जानकारी सम्यक रूप से सुरक्षित है।
21. मैट्रिक्स
(ए) आरई सभी महत्वपूर्ण सूचना प्रणालियों के लिए रिकवरी पॉइंट ऑब्जेक्टिव (आरपीओ) और रिकवरी टाइम ऑब्जेक्टिव (आरटीओ) सहित सिस्टम निष्पादन, रिकवरी एवं कारोबार पुनः आरंभ करने के लिए उपयुक्त मैट्रिक्स को परिभाषित करेगा।
(बी) गैर-महत्वपूर्ण सूचना प्रणालियों के लिए, आरई उपयुक्त मैट्रिक्स को परिभाषित करने के लिए जोखिम-आधारित दृष्टिकोण अपनाएंगे।
(सी) आरई आईटी निष्पादन और आईटी परिपक्वता स्तर को मापने के लिए उपयुक्त स्कोरकार्ड/ मैट्रिक्स /पद्धति लागू करेंगे।
अध्याय IV - आईटी और सूचना सुरक्षा जोखिम प्रबंधन
22. आईटी संबंधी जोखिमों की आवधिक समीक्षा
आरई की जोखिम प्रबंधन नीति में साइबर सुरक्षा से संबंधित जोखिमों सहित आईटी से संबंधित जोखिम शामिल होंगे, और आईटीएससी के परामर्श से बोर्ड की जोखिम प्रबंधन समिति (आरएमसीबी) आवधिक रूप से इसकी समीक्षा करेगी और कम से कम वार्षिक आधार पर इसे अद्यतन करेगी।
23. आईटी और सूचना सुरक्षा जोखिम प्रबंधन फ्रेमवर्क
आरई एक सुदृढ़ आईटी और सूचना सुरक्षा जोखिम प्रबंधन फ्रेमवर्क15 स्थापित करेगा, जिसमें अन्य बातों के साथ-साथ निम्नलिखित पहलू भी शामिल होंगे:
(ए) पहचान किए गए जोखिमों को कम करने/प्रबंधित करने के लिए व्यापक सूचना सुरक्षा प्रबंधन प्रणाली, आंतरिक नियंत्रण एवं प्रक्रियाओं (लागू बीमा कवर सहित) का कार्यान्वयन। कार्यान्वित नियंत्रणों और प्रक्रियाओं की परिवर्तनशील प्रकृति की जोखिम वाले वातावरण में प्रभावकारिता की आवधिक समीक्षा की जानी चाहिए;
(बी) आईटी जोखिम प्रबंधन में शामिल हितधारकों (तीसरे पक्ष के कर्मियों सहित) की भूमिकाओं और उत्तरदायित्वों का निर्धारण। संभावित भूमिका संघर्ष के क्षेत्रों और जवाबदेही अंतराल की विशेष रूप से पहचान कर उन्हें समाप्त या प्रबंधित किया जाना चाहिए;
(सी) संगठन की महत्वपूर्ण सूचना प्रणालियों की पहचान और ऐसी प्रणालियों के सुरक्षा परिवेश को मजबूत करना; और
(डी) डेटा/सूचना के सुरक्षित भंडारण/संचरण/प्रसंस्करण को सुनिश्चित करने के लिए आवश्यक प्रणालियों, प्रक्रियाओं और नियंत्रणों का निर्धारण एवं कार्यान्वयन।
24. सूचना सुरक्षा नीति और साइबर सुरक्षा नीति
(ए) सूचना सुरक्षा नीति अन्य बातों के साथ-साथ नीति के उद्देश्यों, विस्तार, स्वामित्व और उत्तरदायित्व ; सूचना सुरक्षा संगठनात्मक संरचना; अपवाद; अनुपालन समीक्षा और नीतियों के गैर-अनुपालन के लिए दंडात्मक उपाय जैसे पहलुओं को ध्यान में रखेगी। आरई को एक साइबर सुरक्षा नीति और साइबर संकट प्रबंधन योजना (सीसीएमपी) भी स्थापित करनी होगी।
(बी) साइबर/सूचना सुरक्षा के प्रबंधन के लिए आईटीएससी की देखरेख में एक सूचना सुरक्षा समिति (आईएससी) का गठन किया जाएगा। आईटीएससी द्वारा सूचना सुरक्षा समिति, मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) और व्यवसाय एवं आईटी कार्यों इत्यादि के अन्य प्रतिनिधियों के साथ आईएससी का गठन किया जाएगा। आईएससी का प्रमुख जोखिम प्रबंधन कार्यक्षेत्र से जुड़ा हुआ होगा। आईएससी के प्रमुख उत्तरदायित्वों में अन्य बातों के साथ-साथ निम्न शामिल होंगे:
-
सूचना/साइबर सुरक्षा नीतियों का विकास, नीतियों, मानकों और प्रक्रियाओं का कार्यान्वयन यह सुनिश्चित करने के लिए कि सभी पहचाने गए जोखिमों को आरई की जोखिम वहन की क्षमता के भीतर प्रबंधित किया जाता है;
-
सूचना सुरक्षा परियोजनाओं और सुरक्षा जागरूकता पहलों को अनुमोदित करना और उनकी निगरानी करना;
-
साइबर घटनाओं, सूचना प्रणाली लेखा-प्रणाली टिप्पणियों, निगरानी और न्यूनीकरण गतिविधियों की समीक्षा करना; और
-
आवधिक रूप से आईएससी की गतिविधियों के बारे में आईटीएससी और सीईओ को सूचित करना।
(सी) एक वरिष्ठ स्तर के कार्यकारी (अधिमानतः महाप्रबंधक या समकक्ष के पद पर) को मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) के रूप में नामित किया जाएगा। सीआईएसओ का आईटी कार्य के प्रमुख के साथ कोई प्रत्यक्ष रिपोर्टिंग संबंध नहीं होगा और उसे कोई कारोबारी लक्ष्य नहीं दिया जाएगा। आरई निम्नलिखित को सुनिश्चित करेंगे:
-
सीआईएसओ के पास अपेक्षित तकनीकी पृष्ठभूमि और विशेषज्ञता है;
-
उसे पर्याप्त रूप से एक न्यूनतम अवधि के लिए नियुक्त किया गया है;
-
सीआईएसओ के कार्यालय में बिजनेस वॉल्यूम, प्रौद्योगिकी अपनाए जाने के विस्तार और जटिलता के अनुरूप आवश्यक तकनीकी विशेषज्ञता वाले लोगों का पर्याप्त स्टाफ है; और
-
सूचना/साइबर सुरक्षा के लिए बजट वर्तमान/संभावित खतरे के परिदृश्य को ध्यान में रखते हुए निर्धारित किया जाता है।
(डी) आरई यह सुनिश्चित करेंगे कि सीआईएसओ की भूमिकाएं और उत्तरदायित्व स्पष्ट रूप से परिभाषित और प्रलेखित हों, जिसमें कम से कम निम्नलिखित बिंदु शामिल हों:
-
सीआईएसओ साइबर सुरक्षा रणनीति संचालन और सूचना/साइबर सुरक्षा पर मौजूदा विनियामक/सांविधिक अनुदेशों का अनुपालन सुनिश्चित करने के लिए उत्तरदायी होगा।
-
सीआईएसओ उन नीतियों को लागू करने के लिए उत्तरदायी होगा जो एक आरई अपने एवं प्रासंगिक बाहरी एजेंसियों के साथ-साथ सूचना/साइबर सुरक्षा से संबंधित मुद्दों के समन्वय के अलावा अपनी सूचना आस्तियों की सुरक्षा के लिए उपयोग करता है।
-
सीआईएसओ आईटीएससी और आईटी संचालन समिति का स्थायी आमंत्रित सदस्य होगा।
-
सीआईएसओ का कार्यालय सुरक्षा परिचालन केंद्र (एसओसी) का प्रबंधन व निगरानी करेगा और साइबर सुरक्षा से संबंधित परियोजनाएं चलाएगा।
-
सीआईएसओ का कार्यालय परिनियोजित सुरक्षा समाधानों का प्रभावी तौर पर कामकाज सुनिश्चित करेगा।
-
सीआईएसओ जोखिम प्रबंधन कार्य की देखरेख करने वाले कार्यपालक निदेशक या समकक्ष कार्यकारी को सीधे रिपोर्ट करेगा; और
-
सीआईएसओ बोर्ड/आरएमसीबी/आईटीएससी के समक्ष कम से कम तिमाही आधार पर आरई के साइबर सुरक्षा जोखिमों/व्यवस्थाओं/तैयारियों की समीक्षा प्रस्तुत करेगा।
25. जोखिम आकलन
(ए) आरई के दायरे में प्रत्येक सूचना आस्ति के लिए जोखिम आकलन, उचित सुरक्षा मानकों/आईटी नियंत्रण फ्रेमवर्क द्वारा निदेशित किया जाएगा।
(बी) आरई यह सुनिश्चित करेंगे कि सभी स्टाफ-सदस्य और सेवा प्रदाता उन पर लागू मौजूदा सूचना सुरक्षा एवं स्वीकार्य-उपयोग नीतियों का अनुपालन करें।
(सी) आरई अपने स्वयं के अनुभवों और उभरते खतरों व जोखिमों को ध्यान में रखते हुए, अपनी सुरक्षा अवसंरचना तथा सुरक्षा नीतियों की कम से कम सालाना समीक्षा करेंगे। आरई को फ़िशिंग, स्पूफ़िंग हमलों सहित साइबर हमलों से बेहतर ढंग से निपटने और उनके प्रतिकूल प्रभावों को कम करने के लिए कदम उठाने होंगे।
26. भेद्यता आकलन (वीए) / भेदन परीक्षण (पीटी) का संचालन
(ए) महत्वपूर्ण सूचना प्रणालियों और/या विसैन्यीकृत जोन (डीएमजेड) में ग्राहक इंटरफेस वाले लोगों के लिए, वीए हर छह महीने में कम से कम एक बार और पीटी 12 महीने में कम से कम एक बार आयोजित किया जाएगा। साथ ही, आरईएस अपने सम्पूर्ण जीवनचक्र में ऐसी सूचना प्रणालियों का वीए/पीटी करेगा (कार्यान्वयन से पहले, कार्यान्वयन के बाद, मुख्य परिवर्तनों के बाद, आदि)।
(बी) गैर-महत्वपूर्ण सूचना प्रणालियों के लिए, वीए/पीटी के संचालन की आवश्यकता और आवधिकता तय करने के लिए जोखिम-आधारित दृष्टिकोण अपनाया जाएगा।
(सी) वीए/पीटी का संचालन ठीक ढंग से प्रशिक्षित और स्वतंत्र सूचना सुरक्षा विशेषज्ञों/लेखा परीक्षकों द्वारा किया जाएगा।
(डी) कार्यान्वयन के बाद (आईटी प्रोजेक्ट/सिस्टम अपग्रेड आदि के) के परिदृश्य में, वीए/पीटी उत्पादन वातावरण के संबंध में किया जाएगा। अपरिहार्य परिस्थितियों में, यदि पीटी परीक्षण वातावरण में किया जाता है, तो आरई यह सुनिश्चित करेंगे कि परीक्षण वातावरण का वर्शन और कॉन्फ़िगरेशन उत्पादन वातावरण के सदृश है। किसी भी विचलन को आईएससी द्वारा प्रलेखित और अनुमोदित किया जाना चाहिए।
(ई) आरई अपेक्षित सुधारात्मक उपाय करके पहचानी गई कमजोरियों और संबंधित जोखिमों को समयबद्ध रूप से ठीक करना सुनिश्चित करेगा और यह सुनिश्चित करेगा कि सामान्य कमजोरियों और एक्सपोजर (सीवीई) डेटाबेस में विद्यमान ज्ञात कमजोरियों की पुनरावृत्ति से बचने के लिए अनुपालन किया जा रहा है।
(एफ) आरई को वीए/पीटी के संचालन के लिए एक प्रलेखित अभिगम स्थापित करना होगा जिसमें विस्तार, व्याप्ति, भेद्यता स्कोरिंग तंत्र (उदाहरण के लिए, सामान्य भेद्यता स्कोरिंग प्रणाली) और अन्य सभी पहलू शामिल होंगे। यह क्लाउड वातावरण में होस्ट की गई आरई की सूचना प्रणालियों पर भी लागू हो सकता है।
27. साइबर घटना प्रतिक्रिया और बहाली प्रबंधन16
(ए) साइबर घटना प्रतिक्रिया और बहाली प्रबंधन नीति घटनाओं के वर्गीकरण और मूल्यांकन को संबोधित; ऐसी घटनाओं को प्रबंधित करने, एक्सपोज़र को नियंत्रित करने और समय पर बहाली करने के लिए एक स्पष्ट संचार रणनीति और योजना शामिल करे।
(बी) आरई साइबर घटनाओं की गंभीरता, प्रभाव और मूल कारण (यदि आवश्यक हो तो फोरेंसिक विश्लेषण सहित) का विश्लेषण करेगा। आरई व्यवसाय संचालन पर इन घटनाओं के प्रतिकूल प्रभाव को कम करने के लिए सुधारात्मक और निवारक उपाय अपनाएंगे।
(सी) आरई के पास ऐसी घटनाओं से निपटने वाले कर्मचारियों/आउटसोर्स कर्मचारियों की प्रमुख भूमिकाओं की पहचान सहित लिखित घटना प्रतिक्रिया और बहाली प्रक्रियाएं होंगी।
(डी) आरई के पास आवश्यकतानुसार बोर्ड और वरिष्ठ प्रबंधन के समक्ष तथा ग्राहकों के लिए भी घटनाओं की रिपोर्टिंग करने और इनके एस्केलेशन के लिए स्पष्ट संचार योजनाएं होनी चाहिए। आरई विनियामकीय आवश्यकताओं के अनुसार घटनाओं के संबंध में सीईआरटी-इन और आरबीआई17 को सक्रिय रूप से अधिसूचित करेंगे। आरई को भारतीय बैंकों - आईडीआरबीटी द्वारा स्थापित सेंटर फॉर एनालिसिस ऑफ रिस्क्स एंड थ्रेट्स (आईबी-कार्ट) को घटनाओं की रिपोर्ट करने के लिए भी प्रोत्साहित किया जाता है।
(ई) आरई पिछली घटनाओं के साथ-साथ परीक्षणों और अभ्यासों के संचालन से सीखे गए सबक के माध्यम से घटना की प्रतिक्रिया और बहाली गतिविधियों और क्षमताओं में सुधार करने के लिए प्रक्रियाएं स्थापित करेंगे। आरई, अन्य बातों के साथ-साथ, हितधारकों (सेवा प्रदाताओं सहित) के साथ आवधिक अभ्यास/परीक्षण आयोजित करके संकट संचार योजना/प्रक्रिया की प्रभावशीलता सुनिश्चित करेंगे।
अध्याय V - व्यवसाय निरंतरता और आपदोपरांत बहाली प्रबंधन
28. व्यवसाय निरंतरता योजना (बीसीपी) और आपदोपरांत बहाली (डीआर) नीति
(ए) बीसीपी और डीआर नीति विघटनकारी घटनाओं की संभावना या प्रभाव को कम करने और व्यापार निरंतरता बनाए रखने में अपने कार्यों का मार्गदर्शन करने के लिए सर्वोत्तम प्रथाओं18 को अपनाएगी। नीति को प्रमुख विकास/जोखिम मूल्यांकन के आधार पर अद्यतित किया जाएगा।
(बी) आरई की बीसीपी/डीआर क्षमताओं को इसके आघात-सहनीय उद्देश्यों का प्रभावी ढंग से समर्थन करने और साइबर हमलों/अन्य घटनाओं के बाद तेजी से बहाल करने और अपने महत्वपूर्ण संचालन (सुरक्षा नियंत्रण सहित) को सुरक्षित रूप से फिर से शुरू करने में सक्षम बनाने के लिए डिज़ाइन किया जाएगा।
29. आपदोपरांत बहाली प्रबंधन
(ए) महत्वपूर्ण सूचना प्रणालियों के लिए डीआर ड्रिल की आवधिकता कम से कम अर्ध-वार्षिक आधार पर होगी और अन्य सूचना प्रणालियों के लिए आरई के जोखिम मूल्यांकन के अनुसार होगी।
(बी) ड्रिल के सफल संचालन को सुनिश्चित करने के लिए डीआर ड्रिल के दौरान देखे गए किसी भी प्रमुख मुद्दे को अगले चक्र से पहले हल किया जाएगा और फिर से परीक्षण किया जाएगा।
(सी) डीआर परीक्षण में डीआर/वैकल्पिक साइट पर स्विच करना और इस प्रकार इसे पर्याप्त लंबी अवधि के लिए प्राथमिक साइट के रूप में उपयोग करना शामिल होगा जहां कम से कम एक पूर्ण कार्य दिवस (दिन की शुरुआत से दिन के अंत तक के संचालन सहित) के सामान्य कारोबार परिचालन कवर होते हों।
(डी) आरई नियमित रूप से संभावित आकस्मिकताओं के लिए विभिन्न परिदृश्यों के तहत बीसीपी / डीआर का परीक्षण करेंगे, ताकि यह सुनिश्चित हो सके कि यह अद्यतित और प्रभावी है।
(ई) आरई डेटा का बैकअप रखेंगे और इसकी उपयोगिता की जांच करने के लिए आवशिक रूप से ऐसे बैकअप किए गए डेटा को रीस्टोर करेंगे। ऐसे बैकअप डेटा की शुद्धता को अनधिकृत पहुंच से सुरक्षित रखने के साथ-साथ संरक्षित भी किया जाएगा।
(एफ) आरई यह सुनिश्चित करेंगे कि डीआर संरचना और प्रक्रियाएं मजबूत हों, जो आकस्मिकता के मामले में किसी भी बहाली अभियान के लिए परिभाषित आरटीओ और आरपीओ को पूरा करते हों।
(जी) आरई को न्यूनतम आरटीओ (आरई के आईटीएससी द्वारा अनुमोदित) और महत्वपूर्ण सूचना प्रणालियों के लिए लगभग शून्य आरपीओ प्राप्त करने को प्राथमिकता देनी चाहिए।
(एच) आरपीओ के शून्य ना होने के परिदृश्य में, आरई के पास वैकल्पिक स्थान से संचालन पुनः शुरू करते समय डेटा के समाधान के लिए एक प्रलेखित पद्धति होनी चाहिए।
(आई) आरई यह सुनिश्चित करें कि डीसी और डीआर19 के संबंध में सूचना प्रणालियों और तैनात सुरक्षा पैच का कॉन्फ़िगरेशन समान हो।
(जे) आरई विक्रेताओं और भागीदारों के भी महत्वपूर्ण परस्परसंबद्ध प्रणालियों और नेटवर्कों में बीसीपी और डीआर क्षमताओं को सुनिश्चित करेंगे। आरई के आरटीओ के अनुरूप सहयोगात्मक और समन्वित आघात-सहनीय परीक्षण के माध्यम से प्रदर्शित तत्परता आरई को सुनिश्चित करनी होगी।
अध्याय VI - सूचना प्रणाली (आईएस) लेखापरीक्षा
30. सूचना प्रणाली (आईएस) लेखापरीक्षा
(ए) बोर्ड की लेखापरीक्षण समिति (एसीबी) आरई के आईएस लेखापरीक्षा की निगरानी के लिए जिम्मेदार होगी।
(बी) आरई एक आईएस लेखा परीक्षण नीति स्थापित करेंगी। आईएस लेखा परीक्षण नीति में इसके अधिदेश, उद्देश्य, प्राधिकरण, लेखा परीक्षण क्षेत्र, लेखा परीक्षण की आवधिकता आदि का स्पष्ट विवरण शामिल होगा। नीति को एसीबी द्वारा अनुमोदित किया जाएगा और वर्ष में कम से कम एक बार इसकी समीक्षा की जाएगी।
(सी) एसीबी आईटी/सूचना सुरक्षा/साइबर सुरक्षा से संबंधित महत्वपूर्ण मुद्दों की समीक्षा करेगा और आरई के प्रबंधन को उचित दिशा और मार्गदर्शन प्रदान करेगा।
(डी) आरई के पास एक अलग आईएस लेखा परीक्षण प्रणाली अथवा संसाधन हों जो आंतरिक लेखा परीक्षण प्रणाली के भीतर आवश्यक पेशेवर कौशल और क्षमता रखते हों। जहां आरई उन क्षेत्रों में आईएस लेखा परीक्षण करने के लिए बाहरी संसाधनों का उपयोग करता है जिनमें आरई के भीतर कौशल की कमी है, ऐसे बाहरी आईएस लेखा परीक्षण के लिए जिम्मेदारी और जवाबदेही आंतरिक लेखा परीक्षण प्रणाली के भीतर सक्षम प्राधिकारी के पास बनी रहेगी।
(ई) आरई को जोखिम-आधारित लेखा परीक्षण दृष्टिकोण अपनाकर आईएस लेखा परीक्षण योजना बनानी होगी।
(एफ) आरई, जहां भी संभव हो, महत्वपूर्ण प्रणालियों के लिए निरंतर लेखा परीक्षण दृष्टिकोण, अधिक नियमित आधार पर नियंत्रण और जोखिम मूल्यांकन करने पर विचार कर सकते हैं।
अध्याय VII - निरसन और अन्य प्रावधान
इन निदेशों के जारी होने के साथ, अनुबंध में सूचीबद्ध भारतीय रिज़र्व बैंक द्वारा जारी परिपत्रों में शामिल निर्देश/दिशानिर्देश उक्त अनुबंध में उल्लिखित तारीखों से निरस्त हो जाएंगे। उल्लिखित परिपत्रों में दिए गए सभी निर्देश/दिशानिर्देश इन निर्देशों के तहत माने जाएंगे। रिज़र्व बैंक द्वारा जारी किए गए अन्य परिपत्रों/दिशानिर्देशों/अधिसूचनाओं में उक्त निरस्त परिपत्रों के संदर्भ वाले किसी भी संदर्भ का अर्थ, निरसन की तारीख के बाद, इन निर्देशों का संदर्भ होगा, अर्थात् भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी अभिशासन, जोखिम, नियंत्रण और आश्वासन प्रथाएँ) दिशानिर्देश, 2023। इस तरह के निरसन के बावजूद, निरस्त किए गए परिपत्रों के तहत की गई कोई भी कार्रवाई, कथित तौर पर की गई या शुरू की गई, उक्त परिपत्रों/दिशानिर्देशों/अधिसूचनाओं के प्रावधानों द्वारा अभिशासित होती रहेगी।
31. अन्य कानूनों के लागू होने पर रोक नहीं
इन निदेशों के प्रावधान वर्तमान में लागू किसी भी अन्य कानून, नियम, विनियम या निर्देशों के प्रावधानों के अतिरिक्त होंगे, न कि उनके स्थान पर।
32. व्याख्या
इन निदेशों के प्रावधानों को प्रभावी बनाने के उद्देश्य से या इन निदेशों के प्रावधानों के उपयोग या व्याख्या में किसी भी कठिनाई को दूर करने के लिए, भारतीय रिज़र्व बैंक, यदि आवश्यक समझे, इसमें शामिल मुद्दों और भारतीय रिज़र्व बैंक द्वारा दिए गए इन निदेशों के किसी भी प्रावधान की व्याख्या के संबंध में आवश्यक स्पष्टीकरण जारी कर सकता है जो कि अंतिम और बाध्यकारी होगा।
अनुबंध
इन निदेशों को जारी करते समय निम्नलिखित परिपत्रों को समेकित20 किया गया है:
(i) कंप्यूटर लेखा परीक्षण के संचालन के लिए मानकीकृत चेकलिस्ट - कंप्यूटर लेखा परीक्षण पर समिति की रिपोर्ट पर दिनांक 19 दिसंबर, 2002 का परिपत्र डीबीएस.सीओ.ओएसएमओएस.बीसी.8/33.01.022/2002-2003
(ii) सूचना सुरक्षा, इलेक्ट्रॉनिक बैंकिंग, प्रौद्योगिकी जोखिम प्रबंधन और साइबर धोखाधड़ी पर कार्य समूह - अनुशंसाओं का कार्यान्वयन विषय पर दिनांक 29 अप्रैल, 2011 का परिपत्र डीबीएस.सीओ.आईटीसी.बीसी. क्र 6/31.02.008/2010-11
इन निदेशों के प्रभावी होने के साथ, रिज़र्व बैंक द्वारा जारी निम्नलिखित परिपत्रों में शामिल निर्देश/दिशानिर्देश निरस्त हो जाते हैं। ये परिपत्र 31 मार्च 2024 तक लागू रहेंगे।
| क्र. सं. |
संदर्भित परिपत्र |
दिनांक |
विषय |
टिप्पणी |
| 1 |
डीबीएस.सीओ.आईटीसी.बीसी.10/ 31.09.001/97-98 |
4 फरवरी, 1998 |
कंप्यूटर और दूरसंचार प्रणालियों में जोखिम और नियंत्रण |
|
| 2 |
डीबीएस.सीओ.ओएसएमओएस.बीसी/ 11/33.01.029/2003-04 |
30 अप्रैल, 2004 |
सूचना प्रणाली लेखापरीक्षा - नीतियों और प्रथाओं की समीक्षा |
|
| 3 |
डीबीएस.सीओ.आईएस.ऑडिट क्र.19/ 31.02.03/2004-05 |
15 अप्रैल, 2005 |
परिचालन जोखिम प्रबंधन - व्यवसाय निरंतरता योजना |
|
| 4 |
डीबीएस.सीओ.आईएस.ऑडिट क्र. 4/ 31.02.03/2005-06 |
16 फरवरी, 2006 |
व्यवसाय निरंतरता/आपदोपरांत बहाली योजना |
|
| 5 |
डीबीएस.सीओ.आईएस.ऑडिट.बीसी.क्र.3/ 31.02.03/2005-06 |
16 फरवरी, 2006 |
फिशिंग हमले |
|
| 6 |
डीआईटी.सीओ.801/ 07.71.032/201-11 |
29 सितंबर, 2010 |
व्यवसाय निरंतरता योजना (बीसीपी), आपदोपरांत बहाली (डीआर) ड्रिल और भेद्यता आकलन-भेदन परीक्षण (वीएपीटी) |
|
| 7 |
डीआईटी.सीओ(नीति)2036/07.71.032/2011-12 |
2 मार्च, 2012 |
व्यवसाय निरंतरता योजना (बीसीपी) और आपदोपरांत बहाली (डीआर); भेद्यता आकलन-भेदन परीक्षण (वीएपीटी) |
|
| 8 |
डीआईटी.सीओ(नीति).क्र.674/09.63.025/2013-14 |
30 अगस्त, 2013 |
बैंकों द्वारा सूचना प्रौद्योगिकी संसाधनों को साझा करना - दिशानिर्देश |
|
| 9 |
डीआईटी.सीओ(नीति).क्र.2636/09.63.025/2012-13 |
26 जून, 2013 |
व्यवसाय निरंतरता योजना (बीसीपी), भेद्यता मूल्यांकन और प्रवेश परीक्षण (वीएपीटी) और सूचना सुरक्षा |
|
| 10 |
डीआईटी.सीओ.क्र.1857/ 07.71.099/2013-14 |
26 फरवरी, 2014 |
सुरक्षा घटना ट्रैकिंग प्लेटफ़ॉर्म - रिपोर्टिंग |
|
| 11 |
डीबीएस (सीओ). सीएसआईटीई/ 9094/31.01.15/2016-17 |
23 मई, 2017 |
जोखिम अभिशासन फ्रेमवर्क - मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) की भूमिका |
|
| 12 |
डीएनबीएस.पीपीडी.क्र.04/ 66.15.001/2016-17 |
08 जून, 2017 |
मास्टर निदेश - एनबीएफसी क्षेत्र के लिए सूचना प्रौद्योगिकी फ्रेमवर्क |
केवल एनबीएफसी-शीर्ष, ऊपर और मध्यम स्तर के लिए निरस्त |
परिवर्णी शब्द
| एसीबी |
बोर्ड के निदेशकों की लेखा परीक्षण समिति |
| बीसीपी |
व्यवसाय निरंतरता योजना |
| सीआईओ |
मुख्य सूचना अधिकारी |
| सीआईएसओ |
मुख्य सूचना सुरक्षा अधिकारी |
| सीसीटीवी |
क्लोज़्ड-सर्किट टेलीविज़न |
| सीईआरटी-इन |
भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम |
| सीआरओ |
मुख्य जोख़िम अधिकारी |
| सीएसआईआरटी |
साइबर सुरक्षा घटना प्रतिक्रिया टीम |
| सीटीओ |
मुख्य तकनीकी अधिकारी |
| सीवीएसएस |
सामान्य भेद्यता स्कोरिंग प्रणाली |
| डीएमज़ेड |
विसैन्यीकृत क्षेत्र |
| डीसी |
डेटा केंद्र |
| डीआर |
आपदोपरांत बहाली |
| ईओएस |
एंड ऑफ सपोर्ट |
| आईबी-सीएआरटी |
इंडियन बैंक – जोख़िम और खतरा विश्लेषण केंद्र |
| आईडीआरबीटी |
बैंकिंग प्रौद्योगिकी विकास एवं अनुसंधान संस्थान |
| आईपी |
इंटरनेट प्रोटोकॉल |
| आईएससी |
सूचना सुरक्षा समिति |
| आईएस |
सूचना प्रणाली |
| आईएसओ |
अंतर्राष्ट्रीय मानकीकरण संगठन |
| आईटी |
सूचना प्रौद्योगिकी |
| आईटीएससी |
बोर्ड-स्तरीय आईटी रणनीति समिति |
| एनएचबी |
राष्ट्रीय आवास बैंक |
| पीटी |
भेदन परीक्षण |
| आरबीआई |
भारतीय रिज़र्व बैंक |
| आरई |
विनियमित इकाई |
| आरएमसीबी |
बोर्ड की जोख़िम प्रबंधन समिति |
| आरपीओ |
रिकवरी पॉइंट ऑब्जेक्टिव |
| आरटीओ |
रिकवरी टाइम ऑब्जेक्टिव |
| एसओसी |
सुरक्षा संचालन केंद्र |
| वीए |
जोखिम मूल्यांकन |
|