הוראה בדבר ניהול טכנולוגיית המידע בבנק
המפקח על הבנקים הפיץ היום לחברי הועדה המייעצת טיוטת הוראה בדבר ניהול טכנולוגיית המידע
בתאגיד הבנקאי, המחליפה הוראות קיימות. ההוראה החדשה באה על רקע החשיבות הרבה
שמייחס הפיקוח על הבנקים לטכנולוגיית המידע במתן השירות ללקוח, בניהול ובתפעול התקין של
התאגיד הבנקאי ובשמירה על יציבותו, והצורך בקיום סטנדרטים גבוהים של ניהול טכנולוגיית
המידע. חשיבות הנושא גבוהה במיוחד לנוכח ההתפתחות הטכנולוגית בשנים האחרונות והשלכותיה
על פעילות התאגידים הבנקאיים.
טיוטת ההוראה מטפלת במגוון נושאים הקשורים בעיקר להיבטי ניהול ובקרה, אבטחת מידע
ושרידות מערך טכנולוגיית המידע בעיתות חירום.
ההוראה קובעת, בין היתר, כי:
¦ הדירקטוריון והנהלת התאגיד הבנקאי יקיימו דיון תקופתי ויקבעו את מדיניות ניהול טכנולוגיית
המידע בתחומים הבאים: אבטחת מידע, מסירת עבודות לקבלנים חיצוניים (מיקור חוץ -
(Outsourcing והתאוששות מאסון. חובת ההנהלה ליישום המדיניות כאמור, ובמעקב אחר ביצועה.
¦ על ההנהלה למנות מנהל שיישא באחריות למכלול נושאי טכנולוגיית המידע, ומנהל אבטחת מידע
כגורם בקרה בכיר בתאגיד הבנקאי, ולהקצות לו את המשאבים הנדרשים למילוי תפקידו. מנהלים
אלה יהיו חברי הנהלה או כפופים ישירות למנכ"ל התאגיד הבנקאי.
¦ התאגידים הבנקאיים נדרשים לבצע הערכת סיכונים (Risk Assessment) של מערך טכנולוגיית
המידע, בהתייחס למכלול הסיכונים הפוטנציאליים הקשורים בניהול מערך זה, כגון: משתמשי
המערכת, סביבת המערכת ורגישות המידע.
¦ מסירת עבודות לקבלנים חיצוניים (Outsourcing) מהווה מוקד סיכון לתאגיד בנקאי. לפיכך
קובעת טיוטת ההוראה תנאים מינימליים הנדרשים בהסכם בין התאגיד הבנקאי לבין הקבלן
החיצוני, נותן השרותים כמו הסכם רמת שרות – (SLA – Service Level Agreement), חובת
סודיות ואבטחת מידע ע"י ספק השרותים, התייחסות למתן השירותים גם במצבי חירום ומתן
אפשרות לביקורת מטעם הפיקוח על הבנקים אצל ספק השרותים.
טיוטת ההוראה מגדירה מחדש את מכלול השירותים הבנקאיים בתקשורת, וקובעת כללים לחתימה
על הסכמי התקשרות בין הבנק לבין הלקוח (אם בסניף ואם באמצעות תקשורת). במסגרת זו הורחב
המושג "בנקאות בתקשורת" והוא יכיל כל ערוצי התקשורת המופעלים כיום, לרבות שירותי הטלפון
הממוחשב. הכלל שנקבע הוא, שבאמצעות חתימה בסניף יוכל הלקוח לקבל את כל השירותים
בתקשורת ואילו ללא חתימה בסניף (למשל באמצעות ערוצי התקשורת השונים), יתאפשר ללקוח
לקבל שירותים מוגבלים בלבד.
עיקר מאפייני ההוראה:
¦ בדיקות תקופתיות של הערכת סיכונים. לדוגמא: חובת התאגיד הבנקאי לבצע סקר בטיחות
וניסיונות חדירה אחת לתקופה, בהתאם להערכת הסיכונים של מערכות המידע.
¦ יישום לקחי העבר. לדוגמא: הסדרה רחבה של נושא הגיבוי וההתאוששות מאסון ע"י התייחסות
מפורשת לעניינים ספציפיים ובמיוחד - ריחוק רכיבי הגיבוי (ציוד, תוכנה ומידע) מהאתר התפעולי
וביצוע ניסוי.
¦ ציון העקרונות הנדרשים מאמצעי אבטחת המידע השונים. לדוגמא: לנוכח קצב ההתפתחויות
הטכנולוגיות המהיר, מחויבים התאגידים הבנקאיים לנהל מעקב אחר התפתחויות מערכות המידע
השונים ולהתאים את רמת האבטחה במערך טכנולוגיית המידע על פי השינויים הנגזרים
מהשינויים הטכנולוגיים.
¦ ההוראה מחייבת זיהוי אישי, חד-ערכי של משתמשי מערך טכנולוגיית המידע, לרבות לקוחות
מערכות בנקאות בתקשורת. המשמעות מכך הינה שתאגיד בנקאי אמור לזהות את לקוחות
הבנקאות בתקשורת על ידי אמצעי זיהוי ייחודי למשתמש, ולא באמצעות מספר החשבון, כפי
שבדרך כלל נעשה היום.