Redegørelse om IT-inspektion i Gensam Data A/S

Finanstilsynet gennemførte i foråret 2018 en IT-inspektion i Gensam Data A/S. Finanstilsynet gennemgik udvalgte dele af IT-området, herunder den generelle IT-sikkerhedsstyring, organisation, beredskabsplaner, sikkerhedspolitikker og retningslinjer samt outsourcing.

Sammenfatning og risikovurdering

Det er Finanstilsynets vurdering, at Gensam Data ikke i tiltrækkelig grad har forholdt sig til de risici, som IT-anvendelsen medfører, og ikke har etableret tilstrækkelig styring og rapportering på IT-sikkerhedsområdet. Gensam Data skal i højere grad formalisere og dokumentere forretningsgange samt sikre tilstrækkelig implementering heraf.

 

Finanstilsynet har påbudt Gensam Data at forbedre IT-sikkerheds- og risikostyringen, herunder at styrke arbejdet med at identificere risici og sikre bedre sammenhæng mellem IT-risici og kontroller, bl.a. som grundlag for bestyrelsesrapporteringen. Endvidere skal Gensam Data i højere grad dokumentere om den besluttede IT-sikkerhedspolitik er implementeret og efterlevet.

 

Gensam Data skal forbedre adgangsstyringen til system og data, herunder styrke krav til kontrol og overvågning. I relation til ændringsstyringen skal Gensam Data forbedre og dokumentere forretningsgange og kontroller. Gensam Data skal forbedre IT-beredskabet, herunder sikre at beredskabsmålsætningerne er tilstrækkelige og kan efterleves samt forbedre forretningsgange for test.

 

Endvidere skal Gensam Data sikre, at reglerne om outsourcing af væsentlige aktivitetsområder bliver efterlevet.