W dobie obowiązywania rozporządzenia DORA, banki spółdzielcze muszą posiadać kompletną, zatwierdzoną i aktualną dokumentację ICT – od polityki bezpieczeństwa po rejestry incydentów.
Audytorzy z SSOZ i KNF coraz częściej weryfikują nie tylko istnienie dokumentów, ale ich praktyczne zastosowanie, spójność i aktualność. Braki dokumentacyjne to jedna z najczęstszych przyczyn zaleceń pokontrolnych.
W tym wpisie:
przedstawiamy listę wymaganych dokumentów ICT zgodnych z DORA,
udostępniamy gotowe szablony i checklisty do tworzenia procedur,
wskazujemy, co najczęściej jest brakujące lub niepoprawne wg audytorów SSOZ.
Lista wymaganych dokumentów ICT zgodnych z DORA
Zgodnie z art. 5–20 rozporządzenia DORA oraz praktyką audytową KNF i SSOZ, bank powinien posiadać następujące dokumenty ICT:
Polityka Bezpieczeństwa Informacji (ICT) – dokument główny, opisujący zasady zarządzania bezpieczeństwem, strukturę odpowiedzialności, cele i zakres.
Rejestr Ryzyk ICT – identyfikacja, ocena i przypisanie właścicieli ryzyk ICT.
Rejestr Incydentów ICT – obowiązkowy rejestr zgodny z DORA, zawierający klasyfikację, czas trwania, działania korygujące.
Plan Ciągłości Działania (BCP) – opis działań w sytuacji zakłóceń i awarii.
Plan Odtwarzania po Awarii (DRP) – szczegółowe procedury techniczne dotyczące przywracania działania systemów.
Polityka Backupów i Retencji – zasady tworzenia, przechowywania i testowania kopii zapasowych.
Polityka Zarządzania Dostępami – nadawanie, przegląd, odbieranie uprawnień, separacja obowiązków.
Polityka Zarządzania Aktualizacjami i Patchami – harmonogramy, krytyczność aktualizacji, zatwierdzanie.
Polityka Rejestrowania i Monitorowania Logów – zakres, retencja, odpowiedzialność, narzędzia SIEM.
Rejestr Usług ICT i Outsourcingu – wskazanie krytycznych usług, SLA, nadzór i exit plan.
Uwaga: dokumenty te powinny być zatwierdzone przez zarząd i przechowywane w zabezpieczonym repozytorium (np. SharePoint, NAS).
Gotowe szablony polityk i checklisty
Poniżej kilka najczęściej stosowanych szablonów w bankach spółdzielczych:
Polityka backupów – przykładowe sekcje:
częstotliwość backupów,
typ backupu (pełny, różnicowy, przyrostowy),
lokalizacja i nośniki,
testy odtworzeniowe,
odpowiedzialność i rejestry.
Polityka aktualizacji – przykładowe sekcje:
klasyfikacja aktualizacji (krytyczne, operacyjne, rekomendowane),
harmonogram i testy przed wdrożeniem,
procedura awaryjnego wycofania,
dokumentacja zmian.
Polityka dostępów – przykładowe sekcje:
role i poziomy dostępu,
formularz nadania/odebrania uprawnień,
przegląd uprawnień co 6 lub 12 miesięcy,
separacja obowiązków (np. brak uprawnień jednocześnie do operacji i autoryzacji).
Polityka logów – przykładowe sekcje:
zakres logowanych zdarzeń (logowania, awarie, dostęp do danych),
systemy logujące (SIEM, Windows, aplikacje),
retencja logów (np. 12 lub 24 miesiące),
sposób analizy i eskalacji.
📄 Wszystkie polityki powinny zawierać wersjonowanie, datę przeglądu i zatwierdzenie przez zarząd lub ABI.
Co najczęściej jest brakujące według audytorów SSOZ?
Podczas audytów przeprowadzanych w bankach spółdzielczych SSOZ najczęściej wskazuje:
brak polityki aktualizacji lub niekompletna dokumentacja zmian,
brak rejestru ryzyk lub ryzyka nieaktualne od kilku lat,
brak dowodów wykonania testów backupów,
rejestr incydentów prowadzony tylko w Excelu bez wersjonowania,
brak zatwierdzenia dokumentów przez zarząd,
niespójność między politykami a realnymi działaniami w IT,
brak mapy zależności między politykami i rejestrami.
Dobra praktyka: przygotowanie checklisty dokumentów ICT i przegląd co 12 miesięcy – z potwierdzeniem podpisanym przez zarząd.
Potrzebujesz gotowych szablonów i checklist?
Zespół Servus Comp Kraków oferuje:
wzory rejestrów i harmonogramów ICT (backupy, aktualizacje, testy BCP),
wsparcie w przeglądzie, zatwierdzaniu i porządkowaniu dokumentacji.
Skontaktuj się z nami – zapewnij swojemu bankowi pełną zgodność dokumentacyjną z regulacjami.
Zapraszamy Państwa do zapoznania się z naszą ofertą:
PLATFORMA KRÓTKICH SZKOLEŃ – kompleksowe wsparcie dla banków spółdzielczych zgodne z wytycznymi DORA i RTS
https://premiumbank.zadbajobezpieczenstwo.pl/platforma-krotkich-szkolen-kompleksowe-wsparcie-dla-bankow-spoldzielczych-zgodne-z-wytycznymi-dora-i-rts/
AUDYT ZGODNOŚCI Z DORA JAK UZYSKAĆ PEŁNY OBRAZ BEZPIECZEŃSTWA ICT BANKU SPÓŁDZIELCZEGO
ANALIZA UMÓW OUTSOURCINGOWYCH WAŻNY ELEMENT CYBERBEZPIECZEŃSTWA W ŚRODOWISKU ICT BANKU SPÓŁDZIELCZEGO
NOWA ERA AUDYTÓW BEZPIECZEŃSTWA INFORMACJI W BANKACH SPÓŁDZIELCZYCH: DLACZEGO WARTO DZIAŁAĆ JUŻ TERAZ?
https://premiumbank.zadbajobezpieczenstwo.pl
Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.