Używamy plików cookies, by ułatwić korzystanie z naszych serwisów.
Jeśli nie chcesz, by pliki cookies były zapisywane na Twoim dysku zmień ustawienia swojej przeglądarki.
ZAMKNIJ
 

Aktualności

11 lutego 2019Seminarium CEDUR: Plany ciągłości działania – praktyczne aspekty tworzenia i testowania ciągłości działania – plany awaryjne

W dniu  31 stycznia br. odbyło się organizowane przez UKNF seminarium CEDUR na temat planów ciągłości działania oraz planów awaryjnych w praktyce bankowej. Seminarium podzielone było na dwie części. Pierwsza poświęcona była planom ciągłości działania, praktycznym aspektom tworzenia i testowania takich planów oraz planom awaryjnym. Natomiast druga część seminarium dotyczyła tematu outsourcingu – zewnętrznych usług IT w praktyce bankowej.

Planowanie awaryjne w praktyce bankowej

Jednym z kluczowych dokumentów odnoszących się do kwestii planowania awaryjnego jest wydana przez Komisję Nadzoru Finansowego Rekomendacja D. Określa obowiązki i minimalne wymagania w zakresie przygotowania banku na wypadek wystąpienia zdarzenia zaburzającego pracę systemów informacyjnych, które powinny dawać odpowiedz na pytania: jakie czynności należy przeprowadzić, jakie procedury przygotować, aby wystąpienie takiego zdarzenia nie odbiło się negatywnie na bezpieczeństwie i sprawności funkcjonowania banków i ich oddziałów. Omówione zostały kwestie związane z bezpieczeństwem przechowywania danych i procedurami związanymi z przygotowywaniem kopii zapasowych.

Outsourcing, usługi zewnętrzne IT w praktyce bankowej

Praktyka  związana z powierzaniem niektórych procesów podmiotom zewnętrznym wynika przede wszystkim z poszukiwania obszarów, na których możliwe jest ograniczenie kosztów działania, względnie dających dostęp do specjalistycznych technologii, pozwalających na bardziej elastyczne korzystanie z własnych zasobów.

Jest to kwestia szczególnie istotna, zwłaszcza, że w sektorze bankowym 48% systemów krytycznych jest uzależnionych od współpracy z dostawcami zewnętrznymi. Z tego też powodu konieczne są działania uprzedzające, polegające na identyfikowaniu skali i specyfiki ryzyka związanego z wykorzystaniem usług zewnętrznych w działalności banku.

Prowadzący zwrócił na uwagę wymogi stawiane w tym zakresie przez przepisy prawa bankowego (art. 6a) oraz odniósł się do kwestii niedopuszczalności outsourcingu łańcuchowego, który pomimo że jest niedopuszczalny, zdarza się i występuje  pośrednio lub bezpośrednio w zawieranych umowach. W trakcie szkolenia omówione zostały również, określone w Rekomendacji M, zagadnienia zarządzania ryzykiem operacyjnym. Podkreślano potrzebę zachowania należytej staranności przy wyborze usługodawcy i zawieraniu umowy. Omówione zostały także nakładające się na te kwestie regulacje wypływające z Rekomendacji D, która dotyczy zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Zwracano również uwagę na  kwestie posiadania  sformalizowanych procedur w zakresie współpracy z zewnętrznymi dostawcami usług informatycznych.

 

 

Partnerzy