Redegørelse om IT-inspektion i P+ Pensionskassen for akademikere

Finanstilsynet har gennemført en IT-inspektion i P+ Pensionskassen for akademikere (herefter P+) i perioden oktober 2018 til januar 2019 og januar 2020.

Inspektionen fokuserede på styring af IT-sikkerhed og -risici, herunder IT-sikkerhedspolitikken, men har endvidere omfattet gennemgang på andre områder forbundet hermed:

  • Outsourcing
  • Adgangsstyring
  • Beredskabsplanlægning

Sammenfatning

Finanstilsynet har vurderet, at P+ havde væsentlige mangler i sin IT-sikkerhedsstyring og IT-risikostyring. Der manglede rammer og struktur for IT-sikkerhedsstyring, og som følge heraf havde direktion og bestyrelse et utilstrækkeligt overblik og kontrol med virksomhedens risikoeksponering på IT-området. P+ opererede derfor på en række områder med forhøjet risiko.

Finanstilsynet har givet påbud om, at P+ skal sikre en dokumenteret metode for styring af IT-sikkerhed, som sikrer sammenhæng mellem IT-sikkerhedsrisici og -kontroller, en dokumenteret ledelsesopfølgning og en tilfredsstillende kontrol med implementering og efterlevelse af IT-sikkerhedspolitikken mv. 

P+ skal sikre en struktureret og tydelig styring af og sammenhæng mellem den af bestyrelsen fastlagte IT-risikoappetit, IT-risici og risikovurderinger. Risikostyringen skal forankres direkte i forretningsgange og kontroller, og risikorapporteringen til direktion og bestyrelse skal indeholde tilstrækkelig information om den faktiske risikoeksponering på IT-området. Samtidigt skal kvaliteten af P+’s forretningsgange og IT-sikkerhedskrav forbedres på flere centrale områder. 

Finanstilsynet har givet påbud om at fastlægge, forbedre og implementere krav og forretningsgange i relation til outsourcing, herunder risikovurdering af processer og leverandører.

P+ skal forbedre forretningsgange og tydeliggøre risikovurderinger i relation til adgangsstyring til systemer og data, blandt andet sikring af funktionsadskillelse. P+ skal endvidere fastlægge og implementere tilstrækkelige krav til logning, herunder kontrol med og opfølgning på adgang og anvendelse. 

P+ havde mangler i beredskabsplanlægningen. P+ havde i forbindelse med beredskabsplanlægningen ikke en fast ensartet metode og krav til at vurdere risici i kritiske forretningsprocesser, sikre at beredskabsplanlægningen dækker alle relevante scenarier og udvælge hvilke testscenarier der skal udføres i forbindelse med beredskabstestene. Finanstilsynet har givet P+ påbud om at sikre en struktureret og dokumenteret tilgang på området, hvor det sikres at beredskabet dækker alle relevante områder, og relevante testscenarier identificeres og prioriteres.