Områder der ofte indgår i Finanstilsynets it-undersøgelser

Et af Finanstilsynets centrale fokusområder er opgave- og ansvarsfordeling mellem bestyrelse og direktion, som dels tager afsæt i de konkrete krav beskrevet i ledelsesbekendtgørelserne.

Bestyrelsen skal sikre, at virksomhedens it-sikkerhedspolitik udarbejdes med afsæt i den ønskede risikoprofil på it-området, og herunder indeholder en overordnet stillingstagen til væsentlige forhold omhandlende it-sikkerhed. It-sikkerhedspolitikken skal løbende tilpasses ud fra ændringer i det samlede it-risikobillede.

Som en væsentlig forudsætning skal virksomheden kunne dokumentere, at der udarbejdes tilstrækkelige og veldokumenterede it-risikoanalyser og vurderinger, som underbygger den samlede it-risikovurdering, som grundlag for it-politikker og målsætninger. Finanstilsynet anlægger som udgangspunkt en helhedsbetragtning af, i hvilket omfang arbejdet med at identificere og imødegå it-risici er tilstrækkeligt detaljeret, samt at metoden herfor er dokumenteret, implementeret og synliggjort i virksomhedens arbejde, således at de enkelte vurderinger efterfølgende kan kvalitetssikres og efterprøves på en tilfredsstillende måde.

Direktionens grundlæggende ansvar er at sikre, at krav og målsætninger i de af bestyrelsen vedtagne it-sikkerhedspolitik bliver uddybet i procedurer og forretningsgange, instrukser og kontrol og sikringsforanstaltninger, samt at disse er implementeret og fungerer effektivt. Det er Finanstilsynets vurdering, at dette forudsætter, at direktionen har tilstrækkelig indsigt i virksomhedens it-risici, samt hvorledes disse er imødegået af politikker og kontrol og sikringsforanstaltninger i virksomheden.

Nedenfor er et uddrag af de områder som ofte vil indgå i Finanstilsynets ”on-site” it-undersøgelser. Alle områder tilpasses dog den konkrete virksomhed og vægtes ud fra en væsentlighed og risiko.

• It-strategi, it-sikkerhedsstrategi og it-governance, herunder it-sikkerhedsstyring og it-risikovurderinger
• It-beredskabsplanlægning og test af it-beredskabet
• Outsourcing – efterlevelse af outsourcingbekendtgørelsen og kontrol med leverandøren
• Rettighedstildeling, adgangsstyring og logiske adgangskontroller
• Fysisk sikring og adgangsstyring
• It-driftsafvikling og overvågning
• Systemrevision - intern og ekstern
• Change management og projektstyring
• Administration og vedligeholdelse af netværk og systemprogrammel
• Strategi og sikringsforanstaltninger imod it-kriminalitet