Indledning
Finanstilsynet var i perioden marts – april 2011 på inspektion i Topdanmark Forsikring A/S. Inspektionen var en funktionsundersøgelse, hvor it-sikkerhedsområdet blev gennemgået.
Denne redegørelse offentliggøres efter reglerne i bekendtgørelse om finansielle virksomheders pligt til at offentliggøre Finanstilsynets vurdering af virksomheden.
Sammenfatning og risikovurdering
På inspektionen gennemgik Finanstilsynet it-strategi og -sikkerhedspolitik, organisatoriske forhold, adgang til systemer og data, sikkerhedskopiering, beredskabsplanlægning og systemudvikling.
Finanstilsynet vurderer, at selskabet på to områder ikke overholder de lovgivningsmæssige krav til it-sikkerhed for finansielle virksomheder.
Bestyrelsens seneste godkendelse af it-sikkerhedspolitikken er ikke baseret på en aktuel og tilstrækkelig risikovurdering vedrørende it-anvendelsen, og der er uoverensstemmelse mellem beredskabsplanens målsætninger og de reelle etableringstider i en beredskabssituation.
Finanstilsynet har i forbindelse med inspektionen givet selskabet påbud om, at selskabets bestyrelse skal vedtage en sikkerhedspolitik baseret på en dokumenteret og tilstrækkelig risikovurdering, og om at beredskabsplanen i praksis skal understøtte virksomhedens behov i overensstemmelse med beredskabsplanens målsætninger.