Redegørelse om IT-inspektion i SDC A/S

Finanstilsynet har gennemført en IT-inspektion i SDC A/S i perioden maj til september 2019.

Inspektionen omfattede følgende områder: 

  • Styring af IT-sikkerhed og -risici, herunder sikkerhedspolitikken
  • Outsourcing
  • Adgangsstyring og udvalgte aktiviteter vedr. drift og udvikling
  • Beredskabsplanlægning
  • Systemrevisionen

Sammenfatning 

Finanstilsynet vurderer, at SDC A/S (herefter SDC) har væsentlige svagheder i sin IT-risikostyring og organisering af IT-sikkerhedsarbejdet. På enkelte områder opererer SDC med en forhøjet risiko. 

Grundlæggende skal SDC forbedre sin generelle IT-risikostyring, hvor SDC skal sikre, at IT-risikostyringsfunktionen og krav til arbejdet med IT-risikostyring forbedres. SDC mangler en efterlevelse af den vedtagne opgavebeskrivelse for området. Finanstilsynet har givet påbud om at efterleve opgavebeskrivelsen og i forlængelse heraf at forbedre kontrolfunktionen og kvalitetssikringen.

SDC skal forbedre IT-sikkerhedsstyring, hvor SDC i højere grad skal sikre, at opgaver, ansvar og organisering af IT-sikkerhedsarbejdet styrkes og er i overensstemmelse med de fastsatte krav. SDC mangler en klar adskillelse mellem 1. og 2. forsvarslinje. Finanstilsynet har givet påbud om at afhjælpe de deraf afledte mangler i de uafhængige kontroller.

SDC skal forbedre efterlevelsen af de interne krav og forretningsgange i relation til outsourcing samt forbedre bestyrelsesrapporteringen. SDC mangler operationelle exit-planer samt faste procedurer for dele af bestyrelsesrapporteringen. Finanstilsynet har givet påbud om, at SDC skal sikre exit-planer samt procedurer for den generelle outsourcingrapportering til bestyrelsen.  

Endvidere skal SDC forbedre forretningsgange i relation til adgangsstyring til systemer og data. SDC mangler at risikovurdere adgange til systemer og data. Finanstilsynet har givet påbud om, at SDC skal sikre risikovurderinger på området.

SDC har mangler i beredskabsplanlægningen. SDC har i forbindelse med beredskabsplanlægningen ikke en fast ensartet metode og krav til at udvælge, hvilke testscenarier der skal udføres i forbindelse med beredskabstestene. Finanstilsynet har givet SDC påbud om at sikre en formaliseret tilgang på området, hvor relevante testscenarier identificeres og prioriteres.