سند حداقل الزامات ناظر بانک مرکزی + فایل PDF

این سند توسط اداره ارزیابی سلامت نظام بانکی بانک مرکزی جمهوری اسلامی ایران تهیه شده و هدف آن، تعیین حداقل الزامات فنی، ساختاری، امنیتی و مدیریتی برای بانک‌ها و مؤسسات اعتباری فعال در کشور است. تمرکز اصلی این سند بر حوزه فناوری اطلاعات، امنیت سایبری، مدیریت ریسک و سلامت سامانه‌های بانکی است. این الزامات، نوعی استاندارد مرجع محسوب می‌شوند که رعایت آن‌ها برای همه مؤسسات مالی تحت نظارت بانک مرکزی اجباری است. این سند بر پایه قوانین بالادستی مانند قانون پولی و بانکی کشور، ماده ۱۴ قانون برنامه پنجم توسعه، و آیین‌نامه‌های نظارتی بانک مرکزی تدوین شده و باید در طراحی، پیاده‌سازی و ارزیابی عملکرد حوزه فناوری اطلاعات در مؤسسات اعتباری لحاظ گردد.

برای مشاهده کامل الزامات مطرح‌شده در این مقاله، می‌توانید فایل اصلی سند رسمی «حداقل الزامات فناوری اطلاعات بانک مرکزی» را از لینک زیر دریافت نمایید:

دانلود فایل PDF – حداقل الزامات ناظر بانک مرکزی

ساختار و محتوای اصلی سند

1- تعاریف و اصطلاحات کلیدی

در ابتدا تعاریف پایه‌ای از مفاهیم مهم ارائه می‌شود؛ مانند تعریف «مؤسسه اعتباری»، «سامانه»، «بانکداری الکترونیکی»، «کمیته عالی فناوری اطلاعات»، و «واحد حسابرسی فناوری اطلاعات». این بخش کمک می‌کند تا درک مشترکی از مفاهیم پایه وجود داشته باشد.

2- ساختار سازمانی و معماری فناوری اطلاعات

الزام شده که هر مؤسسه اعتباری، دارای ساختار مشخصی برای فناوری اطلاعات باشد. معماری فناوری اطلاعات باید مبتنی بر چارچوب‌های بین‌المللی مانند TOGAF یا BIAN باشد. همچنین وجود معاونت فناوری اطلاعات، کمیته عالی فناوری اطلاعات، و واحد حسابرسی فناوری اطلاعات از اجزای ضروری این ساختار هستند.

3- سیاست‌ها و برنامه‌های اجرایی

مؤسسات باید سیاست‌های جامعی در حوزه‌هایی مانند مدیریت ریسک، شناسایی مشتری، امنیت، برون‌سپاری و بانکداری الکترونیکی تدوین و به تأیید مراجع ذی‌ربط برسانند. همچنین الزامی است برنامه‌هایی برای تداوم کسب‌وکار (BCP) و مدیریت بحران تهیه شود.

4- برون‌سپاری خدمات فناوری اطلاعات

یکی از فصول مهم سند، به الزامات سخت‌گیرانه در خصوص برون‌سپاری می‌پردازد. مؤسسات موظفند فقط با شرکت‌های دارای مجوز و صلاحیت همکاری کنند و قراردادها باید شامل مواردی مانند سطح خدمت (SLA)، تعهدات امنیتی، ممنوعیت واگذاری به شخص ثالث و مدیریت ریسک باشند.

5- امنیت اطلاعات

در این بخش، رعایت استانداردهایی مانند  ISO/IEC 27001 و PCI DSS الزامی اعلام شده است. باید سامانه‌هایی برای کنترل دسترسی، رمزگذاری داده‌ها، مدیریت رخدادهای امنیتی، ثبت لاگ‌ها، و ایجاد SOC (مرکز عملیات امنیت) راه‌اندازی شود.

6- شناسایی و احراز هویت مشتریان

بانک‌ها باید از روش‌های دقیق برای شناسایی و تأیید هویت مشتریان استفاده کنند. این روش‌ها شامل رمز عبور، امضای دیجیتال، بیومتریک (اثر انگشت، عنبیه)، و توکن‌های امنیتی است. همچنین باید سازوکارهایی برای جلوگیری از جعل هویت و نفوذ فراهم شود.

7- سامانه جامع بانکداری متمرکز

هر مؤسسه اعتباری باید سامانه‌ای متمرکز برای مدیریت کلیه خدمات بانکی داشته باشد. ویژگی‌هایی مانند پشتیبانی از عملیات حسابداری، اعتبارات، سپرده‌ها، خزانه‌داری، مدیریت کارت و گزارش‌گیری در این سامانه پیش‌بینی شده است.

8- بانکداری الکترونیکی

الزامات سخت‌گیرانه‌ای برای طراحی و پیاده‌سازی سامانه‌های بانکداری الکترونیکی وجود دارد. این سامانه‌ها باید توانایی ثبت، بازیابی و ردگیری تراکنش‌ها را داشته باشند و در برابر نفوذ، جعل و دستکاری مقاوم باشند.

9- مدیریت ریسک فناوری اطلاعات

مؤسسات باید چارچوب مشخصی برای مدیریت ریسک‌های فناوری اطلاعات بر اساس استانداردهای بین‌المللی مانند ISO 31000، ISO 27005 یا ISACA Risk IT داشته باشند. تحلیل ریسک قبل از ارائه هر خدمت جدید و پیش‌بینی سازوکارهای بیمه‌ای نیز الزامی است.

10- ارتباطات و شبکه

این بخش به طراحی شبکه داخلی، پیاده‌سازی لایه‌های امنیتی، استفاده از فایروال، رمزنگاری، طراحی DMZ، مدیریت تجهیزات شبکه و اتصالات خارجی (مثل اینترنت) می‌پردازد.

11- مراکز داده (Data Center)

مراکز داده باید از نظر فنی، امنیتی و محیطی ایمن بوده و پشتیبان‌گیری منظم از داده‌ها، مدیریت دسترسی، کنترل فیزیکی، و مانیتورینگ دائم بر آن‌ها اعمال شود.

• مقدمه و زمینه‌سازی

این سند در تاریخ 1400/5/31 توسط کمیسیون مقررات و نظارت مؤسسات اعتباری بانک مرکزی جمهوری اسلامی ایران تصویب و به کلیه بانک‌ها و مؤسسات اعتباری تحت نظارت بانک مرکزی ابلاغ شده است. هدف اصلی آن، ایجاد یک چارچوب یکپارچه و استاندارد برای مدیریت ریسک‌های فناوری اطلاعات در مؤسسات مالی است.

• ضرورت تدوین سند
• رشد سریع بانکداری الکترونیک و افزایش ریسک‌های سایبری مانند کلاهبرداری، نقض داده‌ها، و خرابی سیستم‌ها
• نیاز به هماهنگی با استانداردهای بین‌المللی (مانند ISO 27001، PCI DSS) برای افزایش امنیت و اعتماد مشتریان
• جلوگیری ازسوءاستفاده‌های مالی و حفظ ثبات نظام بانکی
• ساختار کلی سند

سند شامل 12 فصل و 137 ماده است که مهم‌ترین بخش‌های آن عبارتند از:

فصل‌های کلیدی و الزامات اصلی

1- فصل اول: تعاریف (ماده 1)

• تعریف دقیق اصطلاحات کلیدی مانند:
  • مؤسسه اعتباری: بانک‌ها و مؤسسات مالی تحت نظارت بانک مرکزی
  • خدمات بانکداری الکترونیکی: تمامی خدمات مالی ارائه‌شده از طریق کانال‌های دیجیتال
  • کمیته عالی فناوری اطلاعات: نهاد نظارتی زیرمجموعه هیئت مدیره برای سیاست‌گذاری فناوری اطلاعات

2- فصل دوم: معماری و ساختار سازمانی (مواد 2-10)

• طرح جامع فناوری اطلاعات (IT Master Plan): مؤسسات موظفند یک برنامه راهبردی برای فناوری اطلاعات تدوین کنند
• تشکیل معاونت فناوری اطلاعات: زیر نظر مستقیم مدیرعامل با شرایط خاص (مثلا حداقل 8 سال سابقه کار در حوزه IT بانکی)
• کمیته عالی فناوری اطلاعات:
  • ترکیب اعضا: حداقل 5 نفر، شامل دو عضو هیئت مدیره و یک عضو مستقل خارج از مؤسسه
  • وظایف: نظارت بر اجرای استانداردها، مدیریت ریسک، و حسابرسی فناوری اطلاعات

3- فصل سوم: خط‌ مشی‌ها و برنامه‌ها (مواد 11-16)

• برنامه تداوم کسب‌وکار (BCP): تضمین خدمات در شرایط بحران (مثلاً قطعی سرورها)
• مدیریت رخدادهای امنیتی (DRP): واکنش سریع به حوادثی مانند هک یا نشت داده‌ها
• کاتالوگ خدمات فناوری اطلاعات: مستندسازی تمام خدمات و دارایی‌های IT

4- فصل چهارم: برون‌سپاری (مواد 17-27)

• انعقاد قرارداد با پیمانکاران: الزام به استفاده از استاندارد ISO 37500 برای برون‌سپاری
• شرایط پیمانکاران:
  • اخذ تأییدیه از مراجع امنیتی
  • ممنوعیت واگذاری مجدد خدمات به اشخاص ثالث
  • تضمین محرمانگی داده‌های مشتریان
• توافق‌نامه سطح خدمات (SLA): تعیین دقیق مسئولیت‌ها و جریمه‌های تخلف

5- فصل پنجم: امنیت (مواد 28-66)

• استانداردهای اجباری:
  • ISO 27001برای مدیریت امنیت اطلاعات
  • PCI DSSبرای امنیت پرداخت‌های الکترونیکی
• کنترل‌های امنیتی:
  • رمزنگاری داده‌های حساس (End-to-End Encryption).
  • دیواره آتش (Firewall) و سیستم تشخیص نفوذ (IDS/IPS).
  • محدودیت دسترسی بر اساس اصل حداقل اختیارات
• مرکز عملیات امنیت (SOC): پایش 24/7 تهدیدات سایبری

6- فصل ششم: مدیریت شناسایی مشتریان (مواد 67-77)

• احراز هویت قوی:
  • استفاده از رمز یکبارمصرف (OTP)، بیومتریک (اثر انگشت، تشخیص چهره)، و توکن‌های امنیتی
• ممنوعیت دسترسی بدون احراز هویت به سامانه‌های مالی
• آموزش مشتریان درباره خطرات فیشینگ و کلاهبرداری آنلاین

7- فصل هفتم: سامانه جامع بانکداری متمرکز (مواد 78-84)

• ویژگی‌های فنی:
  • پایگاه داده متمرکز و یکپارچه
  • امکان ثبت و ردیابی تمام تراکنش‌ها
  • آزمون‌های امنیتی قبل از راه‌اندازی (مانند تست نفوذ)
• ممنوعیت وابستگی به سخت‌افزار/نرم‌افزار خاص

8- فصل هشتم: سامانه‌های بانکداری الکترونیکی (مواد 85-94)

• ثبت تمام تراکنش‌ها با قابلیت بازیابی و حسابرسی
• مقابله با درگاه‌های پرداخت جعلی
• پشتیبان‌گیری روزانه از داده‌ها در سایت‌های جداگانه

9- فصل نهم: مدیریت ریسک (مواد 95-101)

• ارزیابی سالانه ریسک‌های فناوری اطلاعات
• هماهنگی با برنامه تداوم کسب‌وکار (BCP)

10- فصل دهم: شبکه و ارتباطات (مواد 102-115)

• رعایت استانداردهای TCP/IP و OSI
• مدیریت متمرکز شبکه (NOC)
• استفاده از خطوط ارتباطی پشتیبان برای جلوگیری از قطعی

11- فصل یازدهم: مرکز داده (مواد 116-122)

• ایجاد سه مرکز داده:
  1. اصلی(برای عملیات روزمره)
  2. بحران(جایگزین سریع در مواقع اضطراری)
  3. پشتیبان(در فاصله جغرافیایی مناسب)
• رعایت استاندارد TIA-942 (سطح Tier 2 حداقل)

12- فصل دوازدهم: سایر موارد (مواد 123-137)

• خودارزیابی هر دو سال یکبارتوسط مؤسسات
• مجازات تخلف:
  • جریمه مالی
  • اقدامات انضباطی برای مدیران متخلف

جمع‌بندی و نکات نهایی

مزایای سند:

• افزایش امنیت سامانه‌های بانکی
• کاهش کلاهبرداری‌های الکترونیکی
• هماهنگی با استانداردهای جهانی

چالش‌های اجرایی

• هزینه‌بالای پیاده‌سازی (مثلا راه‌اندازی SOC)
• نیاز به نیروی انسانی متخصص

نتیجه‌گیری

این سند یک چارچوب جامع برای مدیریت ریسک‌های فناوری اطلاعات در نظام بانکی ایران ارائه می‌دهد. موفقیت آن منوط به اجرای دقیق، نظارت مستمر بانک مرکزی، و همکاری مؤسسات مالی است