Redegørelse om IT-inspektion i BEC

Finanstilsynet har gennemført IT-inspektion i BEC.

Finanstilsynet gennemførte i første halvår af 2018 en IT-inspektion i BEC. Finanstilsynet gennemgik udvalgte dele af IT-området, herunder:

 

  • IT-sikkerhedsstyring, IT-risikovurderinger, IT-sikkerhedspolitik

  • Outsourcing

  • IT-driftsafvikling & udvikling

  • Adgang til systemer og data

  • Beredskabsplanlægning

  • Systemrevisionens gennemførelse

Sammenfatning og risikovurdering

Det er Finanstilsynets vurdering, at BEC har fokus på IT-sikkerhedsstyring og løbende iværksætter forbedringstiltag på baggrund af trusselsudviklingen og BEC’s IT-risikobillede. Finanstilsynet har dog konstateret, at BEC på enkelte områder opererer med forhøjet risiko i relation til IT-anvendelsen. BEC skal i højere grad forbedre styringen og kontrollen med de outsourcede aktiviteter og sikre, at outsourcingsleverandørernes IT-sikkerhedsstyring er tilstrækkelig betryggende og modsvarer BEC’s krav.

Finanstilsynet har ligeledes påbudt BEC at styrke den løbende IT-risikostyring blandt andet ved i højere grad at dokumentere og synliggøre sammenhængen mellem risici og kontroller, samt at styrke dokumentationsgrundlaget for den samlede IT-risikovurdering.

BEC skal endvidere forbedre krav og forretningsgange i relation til ændringsstyringen samt forbedre styringen og kontrollen med implementeringen af sikkerhedspatches.