Finanstilsynet gennemgik udvalgte dele af it-området, herunder den generelle it-sikkerhedsstyring, it-strategi, organisation, beredskabsplaner, sikkerhedspolitikker og retningslinjer. Endvidere gennemgik Finanstilsynet Sydbanks procedurer for styring af adgange til systemer og data, systemrevision, kontrol med outsourcede it-funktioner samt krav og procedurer til kontrol og rapportering.
Sammenfatning og risikovurdering
Det er Finanstilsynets vurdering, at Sydbank arbejder målrettet på at styrke og udvikle forretningsgange og processer i relation til den generelle it-sikkerhedsstyring og bl.a. har fokus på at løfte det generelle it-sikkerhedsniveau. Det er endvidere Finanstilsynets vurdering, at Sydbank overfor Finanstilsynet har præsenteret en god it-risikoforståelse og sikkerhedskultur. Banken har på flere områder etableret forbedrende it-sikkerhedstiltag og etableret de overordnede rammer for it-sikkerhedsstyringen. Det er dog Finanstilsynets vurdering, at Sydbank fortsat mangler at styrke og implementere flere af de planlagte og præsenterede forbedringstiltag i relation til it-sikkerhedsstyringen, og at banken fortsat skal have fokus på at forbedre it-sikkerheds- og risikostyringen.
Finanstilsynet har påbudt Sydbank at forbedre metoden for it-risikostyring og at sikre en bedre dokumentation af sammenhængen mellem it-risici og de etablerede kontrol- og sikringsforanstaltninger.
Finanstilsynet har endvidere påbudt Sydbank at styrke procedurer og forretningsgange vedr. it-sikkerhedsstyringen, herunder at etablere dokumenteret opfølgning og kontrol med implementeringen af it-sikkerhedspolitikker, forretningsgange og kontroller, og at inddrage og synliggøre resultatet heraf i ledelsesrapporteringen.
Finanstilsynet har ligeledes påbudt Sydbank at etablere dokumenterede krav, opfølgning og kontrol med outsourcing-leverandører og i højere grad at sikre, at outsourcing-leverandører efterlever Sydbanks krav og forventninger i relation til it-sikkerhed samt til beredskabsplanlægningen. Endvidere skal it-risici hos leverandører i højere grad identificeres og inddrages som led i Sydbanks samlede it-sikkerhedsstyring og ledelsesrapportering.
Finanstilsynet har endvidere påbudt Sydbank at konkretisere og dokumentere centrale elementer i it-beredskabet samt at styrke dokumentation og krav i relation til testplanlægning og identificering af relevante testaktiviteter.
Finanstilsynet har påbudt Sydbank at forbedre adgangsstyringen til systemer og data. Herunder skal banken sikre et tilstrækkeligt overblik over tildelte rettigheder og tilstrækkelig kontrol med anvendelsen af adgange, samt sikre, at kritiske adgange og kritiske kombinationer af rettigheder dokumenteres og risikovurderes. Endelig har Finanstilsynet påbudt Sydbank at sikre, at der med afsæt i en risikovurdering defineres tilstrækkelige krav til it-sikkerhedslogning og overvågning.