Områder der ofte indgår i Finanstilsynets IT-undersøgelser

Et af Finanstilsynets centrale fokusområder er opgave- og ansvarsfordeling mellem bestyrelse og direktion, som dels tager afsæt i de konkrete krav beskrevet i ledelsesbekendtgørelserne.

Bestyrelsen skal sikre, at virksomhedens IT-sikkerhedspolitik udarbejdes med afsæt i den ønskede risikoprofil på IT-området, og herunder indeholder en overordnet stillingstagen til væsentlige forhold omhandlende IT-sikkerhed. IT-sikkerhedspolitikken skal løbende tilpasses ud fra ændringer i det samlede IT-risikobillede.

Som en væsentlig forudsætning skal virksomheden kunne dokumentere, at der udarbejdes tilstrækkelige og veldokumenterede IT-risikoanalyser og vurderinger, som underbygger den samlede IT-risikovurdering, som grundlag for IT-politikker og målsætninger. Finanstilsynet anlægger som udgangspunkt en helhedsbetragtning af, i hvilket omfang arbejdet med at identificere og imødegå IT-risici er tilstrækkeligt detaljeret, samt at metoden herfor er dokumenteret, implementeret og synliggjort i virksomhedens arbejde, således at de enkelte vurderinger efterfølgende kan kvalitetssikres og efterprøves på en tilfredsstillende måde.

Direktionens grundlæggende ansvar er at sikre, at krav og målsætninger i de af bestyrelsen vedtagne IT-sikkerhedspolitik bliver uddybet i procedurer og forretningsgange, instrukser og kontrol og sikringsforanstaltninger, samt at disse er implementeret og fungerer effektivt. Det er Finanstilsynets vurdering, at dette forudsætter, at direktionen har tilstrækkelig indsigt i virksomhedens IT-risici, samt hvorledes disse er imødegået af politikker og kontrol og sikringsforanstaltninger i virksomheden.

Nedenfor er et uddrag af de områder som ofte vil indgå i Finanstilsynets ”on-site” IT-undersøgelser. Alle områder tilpasses dog den konkrete virksomhed og vægtes ud fra en væsentlighed og risiko.

  • IT-strategi, IT-sikkerhedsstrategi og IT-governance, herunder IT-sikkerhedsstyring og IT-risikovurderinger
  • IT-beredskabsplanlægning og test af IT-beredskabet
  • Outsourcing – efterlevelse af outsourcingbekendtgørelsen og kontrol med leverandøren
  • Rettighedstildeling, adgangsstyring og logiske adgangskontroller
  • Fysisk sikring og adgangsstyring
  • IT-driftsafvikling og overvågning
  • Systemrevision - intern og ekstern
  • Change management og projektstyring
  • Administration og vedligeholdelse af netværk og systemprogrammel
  • Strategi og sikringsforanstaltninger imod IT-kriminalitet 
Senest opdateret 07-10-2015