Bugün Resmi Gazete’de yayınlanan bir tebliğ ile 2007’de yayınlanan bankaların Bilgi Sistemlerinin Yönetilmesinde Esas Alınacak ilkelere ait tebliğde değişiklik yapıldı.
Bankaların bilgi sistemlerinin yönetimi ile ilgili olarak 14 eylül 2007’de Resmi Gazete’de yayınlanan Tebliğe “Acil ve beklenmedik durum planı” ve “Süreklilik Planı” ile ilgili maddeler eklendi.
2007 tebliğinin 8.maddesine değiştirilen ve eklenen maddeler şu şekilde :
- “(2) Destek hizmeti alımının, planlananın dışında sonlanması veya kesintiye uğraması durumlarına ilişkin risklerin yönetilmesine uygun bir çıkış stratejisi belirlenir.”
“f) Destek hizmeti alımının, planlananın dışında sonlanmasından veya kesintiye uğramasından kaynaklanacak risklerin yönetilmesine ilişkin hükümler,”
“ğ) Birincil veya ikincil sistemlere ilişkin destek hizmeti alınması halinde, Kurul veya Kurum talimatı ile bankaların birincil veya ikincil sistemleri üzerinde gerçekleştirilmesi gereken her türlü değişikliğin, alınan hizmet kapsamında destek hizmeti kuruluşu tarafından talimat süresi içerisinde yerine getirilmesini sağlayacak hükümler.”
Ayrıca 18.madde de, başlığı ile birlikte şu şekilde değiştirildi :
- “Bilgi sistemleri süreklilik planı
MADDE 18 – (1) Bankanın faaliyetlerini destekleyen bilgi sistemleri servislerinin sürekliliğini sağlamak üzere İç Sistemler Yönetmeliğinin 13 üncü maddesinde yer alan iş sürekliliği yönetimi ve planının bir parçası olan bilgi sistemleri süreklilik planı hazırlanır.
(2) Plan, iş süreklilik planında belirlenen hedefleri de dikkate alacak şekilde, önemli iş fonksiyonlarını destekleyen bilgi sistemleri servislerine yönelik hazırlanır. Plan hazırlanırken, iş süreklilik planı kapsamında yapılan çalışmalar bilgi sistemleri açısından değerlendirilir.
(3) Planın hazırlanması sürecinde, bilgi sistemleri varlıklarının ve tutulan verilerin önem düzeyi değerlendirilerek iş etki analizi çerçevesinde belirlenen kesintilerin etkileri analiz edilir. Bu analizin sonuçlarına göre her bir servis için kabul edilebilir kesinti süreleri belirlenerek, bu kesinti süresi içerisinde servisin tekrar erişime açılabilmesine imkân tanıyacak alternatifli kurtarma prosedürleri geliştirilir ve buna göre gerekli önlemler alınır.
(4) Plan kapsamında, performans takip teknikleri kullanılır, kapasite planlaması yapılır, ağ ve iletişim altyapısından kaynaklanabilecek kesintilere karşı uygun alternatif kanallar oluşturulur. Bilgi sistemlerinin sürekliliğini sağlamak amacıyla, risk değerlendirmesi, risk azaltma ve risk izleme faaliyetleri gerçekleştirilir, bilgi sistemleri alt yapısının kapasitesinin ölçeklenebilirliği, genel piyasa dinamikleri ve planlanmış müşteri kazanma oranı ışığında analiz edilir, işlem hacmi tahminleri doğrultusunda gerçekleştirilecek stres testleri ile alt yapının dayanıklılığı test edilir.
(5) Plan kapsamında ikincil merkez tesis edilir ya da bu hizmeti destek hizmeti kuruluşlarından tedarik etme hususunda güvence sağlayan anlaşmalar yapılır. Bankaların İç Sistemleri Hakkında Yönetmeliğin 11 inci maddesinin dördüncü fıkrası uyarınca veri ve sistem yedekleri ikincil merkezde kullanıma hazır bulundurulur.
(6) İkincil sistemler ile ilgili, bu Tebliğ ile getirilen hükümlere ilave yedek tesis edilmesi Bankaların kendi ihtiyarındadır.
(7) Plan, Bankanın iş süreçlerini veya bilgi sistemlerini etkileyecek değişikliklerden sonra gözden geçirilerek güncellenir. Mevcut planın etkinliğini ve güncelliğini temin etmek üzere testler yapılır, testlere varsa destek hizmeti kuruluşları da dahil edilir ve test sonuçları üst yönetime raporlanır.”
Tebliğ yayını ile birlikte yürürlülüğe girdi.
Kaynak : 