Finanstilsynet gennemgik udvalgte dele af IT-området, herunder:
- IT-sikkerhedsstyring, IT-risikovurderinger, IT-sikkerhedspolitik
- Outsourcing
- IT-driftsafvikling og -udvikling
- Adgang til systemer og data
- Beredskabsplanlægning
- Systemrevisionens gennemførelse.
Sammenfatning og risikovurdering
Det er Finanstilsynets vurdering, at JN Data på en række områder i relation til IT-anvendelsen opererer med forhøjet risiko. Finanstilsynet vurderer, at IT-sikkerhedsstyringen hos JN Data, sammenholdt med JN Datas systemiske rolle, ikke på alle områder modsvarer udviklingen i trusselsbilledet. Det er samtidig Finanstilsynets vurdering, at JN Data i de senere år har etableret forbedringer.
Finanstilsynet har påbudt JN Data at styrke IT-sikkerheds- og risikostyringen, herunder at styrke den organisatoriske forankring af roller og ansvar, samt at forbedre implementeringen af IT-sikkerhedspolitikken og forretningsgange. Endvidere skal JN Data forbedre den løbende kontrol og opfølgning på efterlevelsen af de fastsatte krav samt kvaliteten af forretningsgange.
I relation til outsourcing og den løbende leverandørstyring har Finanstilsynet påbudt JN Data at sikre en øget grad af formalisering og implementering af forretningsgange samt at sikre, at reglerne om outsourcing af væsentlige aktivitetsområder bliver efterlevet på alle områder. Ligeledes har JN Data fået påbud om at forbedre patch management processen samt implementeringen af tekniske IT-sikkerhedskrav. Finanstilsynet har ligeledes påbudt JN Data at forbedre adgangsstyringen til systemer og data samt at sikre, at systemer og data er tilstrækkeligt klassificeret. Endvidere har JN Data fået et påbud om at forbedre IT-beredskabet, herunder udarbejdelse og gennemførelse af test.