Panduan Lengkap Pematuhan BNM RMiT untuk Institusi Kewangan
Risk Management in Technology (RMiT) yang diterbitkan oleh Bank Negara Malaysia menetapkan jangkaan kawalan teknologi bagi institusi kewangan berlesen di Malaysia. Artikel ini meringkaskan domain utama RMiT — tadbir urus, operasi teknologi, risiko siber, pengurusan pihak ketiga, kesinambungan perniagaan dan penilaian risiko pusat data (DCRA) — serta bagaimana institusi boleh menstruktur program pematuhan yang berkesan tanpa membebankan operasi. Rujukan rasmi: https://www.bnm.gov.my/
Apakah RMiT dan kepada siapa ia terpakai?
Risk Management in Technology (RMiT) ialah dokumen dasar yang dikeluarkan oleh Bank Negara Malaysia bagi memastikan institusi kewangan menguruskan risiko teknologi dengan kawalan yang sepadan dengan saiz, kompleksiti dan keterhubungan operasi mereka. Berdasarkan panduan rasmi yang diterbitkan oleh BNM, dasar ini meliputi bank perdagangan, bank Islam, syarikat insurans, pengendali pembayaran, pengendali e-money dan entiti lain di bawah penyeliaan BNM.
RMiT menggabungkan jangkaan tadbir urus peringkat lembaga dengan kawalan teknikal operasi. Tujuannya adalah supaya keputusan teknologi — termasuk pemilihan vendor awan, seni bina rangkaian, dan strategi pertahanan siber — dibuat dengan pemahaman risiko yang jelas dan didokumentasikan.
- Institusi perbankan dan kewangan Islam
- Pengendali insurans dan takaful
- Pengendali sistem pembayaran (PSP) dan e-money
- Institusi kewangan pembangunan tertentu
Domain utama dalam RMiT
Walaupun struktur dokumen telah dikemas kini dari semasa ke semasa, beberapa domain utama secara konsisten ditekankan: tadbir urus teknologi dan akauntabiliti Lembaga, pengurusan operasi teknologi, pengurusan risiko siber, pengurusan pihak ketiga dan outsourcing, kesinambungan perniagaan (BCM) dan penilaian risiko pusat data (DCRA).
Setiap domain mempunyai jangkaan kawalan minimum yang perlu dipetakan terhadap polisi dalaman institusi. Organisasi disyorkan untuk merujuk teks RMiT terkini di portal BNM bagi mendapatkan butiran khusus.
- Tadbir urus teknologi — peranan Lembaga, JK Risiko Teknologi
- Operasi teknologi — pengurusan perubahan, patch, kapasiti
- Risiko siber — kawalan akses, kriptografi, pemantauan
- Outsourcing — due diligence vendor awan, exit plan
- BCM dan DRP — RTO, RPO, ujian failover berkala
- DCRA — penilaian risiko pusat data fizikal
Apakah ujian penembusan 'intelligence-led'?
Bagi institusi yang berkemampuan tinggi, BNM menggalakkan pendekatan ujian penembusan yang dipacu risikan ancaman (intelligence-led penetration testing). Pendekatan ini mensimulasikan TTP (taktik, teknik dan prosedur) pelaku ancaman sebenar yang menyasarkan sektor kewangan, berbeza daripada ujian penembusan pematuhan biasa.
Penyedia ujian dijangka mempunyai akreditasi yang relevan (contohnya CREST) dan kapasiti red team yang membenarkan latihan tanpa pengetahuan terperinci dari pasukan biru institusi. Hasil ujian harus dibentangkan kepada JK Risiko dan tindakan pembaikan dijejaki secara formal.
Peranan CISO dan tadbir urus
RMiT menjangkakan institusi melantik CISO (atau peranan setara) yang bebas daripada fungsi operasi teknologi. CISO biasanya melaporkan kepada CEO atau JK Risiko, dengan akses tidak terhalang kepada Lembaga bagi isu-isu material.
Bagi institusi yang lebih kecil atau pengendali e-money baharu, model vCISO (CISO secara perkhidmatan) boleh digunakan sebagai langkah jangka pendek sementara membina fungsi keselamatan dalaman. Pemilihan model perlu dijustifikasi dalam dokumen tadbir urus.
Jangka masa pelaksanaan dan audit trail
Pelaksanaan RMiT bukan projek sekali sahaja — ia adalah program berterusan. Jangka masa biasa untuk mencapai kematangan pematuhan penuh berbeza mengikut saiz institusi, tetapi kebanyakan bank meletakkan tempoh 12-24 bulan untuk transformasi besar (cth migrasi awan, pengukuhan SOC).
Setiap kawalan perlu mempunyai jejak audit: polisi, prosedur, bukti pelaksanaan dan ujian keberkesanan. Juruaudit dalaman dan luaran akan menyemak kewujudan dan keberkesanan kawalan ini.
- Polisi dan prosedur bertulis yang diluluskan Lembaga
- Daftar risiko teknologi yang dikemas kini sekurang-kurangnya tahunan
- Laporan penilaian kerentanan dan ujian penembusan
- Log SOC dan metrik MTTD/MTTR
- Laporan ujian BCM/DRP
Bagaimana memulakan program pematuhan RMiT
Langkah pertama yang disyorkan ialah gap assessment terhadap teks RMiT yang dikeluarkan oleh BNM. Hasil ini menjadi asas peta jalan pematuhan yang berfasa, dipriorit mengikut risiko dan kos.
nCrypt Malaysia membantu institusi kewangan menjalankan gap assessment, menyediakan dokumentasi tadbir urus, mengendalikan ujian penembusan intelligence-led dan menyediakan vCISO untuk mengisi jurang peranan keselamatan. Sila rujuk halaman /compliance/rmit untuk maklumat lanjut.
Nota penting: Maklumat dalam artikel ini bersifat panduan umum. Organisasi disyorkan untuk merujuk teks rasmi akta, garis panduan terkini regulator (BNM, NACSA, Pesuruhjaya Perlindungan Data Peribadi) dan mendapatkan nasihat peguam atau juruaudit bertauliah sebelum membuat keputusan pematuhan.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah RMiT terpakai kepada fintech bukan bank?
Fintech yang berlesen di bawah BNM (contohnya pengendali e-money atau PSP) tertakluk kepada RMiT. Fintech tanpa lesen BNM mungkin tidak tertakluk secara langsung, tetapi sering perlu mematuhi keperluan setara apabila bekerjasama dengan bank.
Berapa kerap ujian penembusan perlu dijalankan?
Walaupun frekuensi spesifik perlu disahkan dengan teks RMiT terkini, amalan industri di Malaysia ialah ujian penembusan sekurang-kurangnya tahunan, ditambah ujian khusus selepas perubahan besar (rilis aplikasi kritikal, migrasi awan).
Bolehkah kami menggunakan vendor luar negara untuk SOC?
Outsourcing SOC dibenarkan tetapi tertakluk kepada keperluan outsourcing RMiT, termasuk due diligence, lokasi data, hak audit dan pelan keluar. Banyak bank Malaysia memilih hybrid SOC dengan komponen tempatan.
Apakah perbezaan RMiT dan ISO 27001?
ISO 27001 ialah piawaian sukarela antarabangsa untuk sistem pengurusan keselamatan maklumat. RMiT pula adalah dasar mandatori BNM yang khusus untuk sektor kewangan Malaysia. ISO 27001 boleh digunakan sebagai asas teknikal yang memudahkan pematuhan RMiT.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.