Banka Bilgi Sistemleri yönetmeliğinde değişikliğe gidildi

ANKARA - Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) "Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğde Değişiklik Yapılmasına Dair Tebliğ" Resmi Gazete'nin bugünkü sayısında yayımlandı.

Buna göre, tebliğin "Tanımlar ve Kısaltmaları" düzenleyen 3. maddesine "acil ve beklenmedik durum planı, bilgi sistemleri süreklilik planı, birincil merkez, birincil sistemler, ikincil merkez, ikincil sistemler, iş etki analizi, kesinti" tanımları eklendi.

Yürürlüğe bugün giren tebliğe göre, bilgi sistemlerine ilişkin destek hizmeti alımı sürecinin yönetimini düzenleyen 8. maddede yapılan değişiklik ile destek hizmeti alımının, planlananın dışında sonlanması veya kesintiye uğraması durumlarına ilişkin risklerin yönetilmesine uygun bir çıkış stratejisi belirlenecek.

Bilgi sistemlerine ilişkin iş sürekliliği ve kurtarma planını içeren 18. maddede yapılan değişiklik ile bankanın faaliyetlerini destekleyen bilgi sistemleri servislerinin sürekliliğini sağlamak üzere, İç Sistemler Yönetmeliğinde yer alan iş sürekliliği yönetimi ve planının bir parçası olan bilgi sistemleri süreklilik planı hazırlanacak.

Plan, iş süreklilik planında belirlenen hedefleri de dikkate alacak şekilde, önemli iş fonksiyonlarını destekleyen bilgi sistemleri servislerine yönelik hazırlanacak. Plan hazırlanırken, iş süreklilik planı kapsamında yapılan çalışmalar bilgi sistemleri açısından değerlendirilecek.

Planın hazırlanması sürecinde, bilgi sistemleri varlıklarının ve tutulan verilerin önem düzeyi değerlendirilerek iş etki analizi çerçevesinde belirlenen kesintilerin etkileri analiz edilecek. Bu analizin sonuçlarına göre her bir servis için kabul edilebilir kesinti süreleri belirlenerek, bu kesinti süresi içerisinde servisin tekrar erişime açılabilmesine imkan tanıyacak alternatifli kurtarma prosedürleri geliştirilir ve buna göre gerekli önlemler alınacak.

Kesintilere karşı uygun alternatif kanallar oluşturulacak

Plan kapsamında, performans takip teknikleri kullanılır, kapasite planlaması yapılır, ağ ve iletişim altyapısından kaynaklanabilecek kesintilere karşı uygun alternatif kanallar oluşturulacak.

Bilgi sistemlerinin sürekliliğini sağlamak amacıyla, risk değerlendirmesi, risk azaltma ve risk izleme faaliyetleri gerçekleştirilir, bilgi sistemleri alt yapısının kapasitesinin ölçeklenebilirliği, genel piyasa dinamikleri ve planlanmış müşteri kazanma oranı ışığında analiz edilir, işlem hacmi tahminleri doğrultusunda gerçekleştirilecek stres testleri ile alt yapının dayanıklılığı test edilecek.

Plan kapsamında ikincil merkez tesis edilecek ya da bu hizmeti destek hizmeti kuruluşlarından tedarik etme hususunda güvence sağlayan anlaşmalar yapılacak. Bankaların İç Sistemleri Hakkında Yönetmeliğin 11 inci maddesinin dördüncü fıkrası uyarınca veri ve sistem yedekleri ikincil merkezde kullanıma hazır bulundurulacak.

Plan, Bankanın iş süreçlerini veya bilgi sistemlerini etkileyecek değişikliklerden sonra gözden geçirilerek güncellenecek. Mevcut planın etkinliğini ve güncelliğini temin etmek üzere testler yapılacak, testlere varsa destek hizmeti kuruluşları da dahil edilir ve test sonuçları üst yönetime raporlanacak.

Acil ve beklenmedik durum planını düzenleyen 19. maddenin 5. fıkrası olan "Acil ve beklenmedik durum planı, bankanın, müşterileri ve yayın organları ile hangi iletişim yöntemlerinin kullanılacağının da belirtildiği bir haberleşme stratejisini içerir. Söz konusu strateji ile banka müşterileri ve yayın organlarının zamanında ve doğru haber alması temin edilir" hükmü yürürlükten kaldırıldı.