Indledning
Finanstilsynet foretog i første halvår af 2015 en funktionsundersøgelse af it-området i Skandinavisk Datacentral A/S (efterfølgende SDC).
Finanstilsynet gennemgik udvalgte dele af it-området, herunder den generelle it-sikkerhedsstyring, strategi, organisation, beredskabsplaner, sikkerhedspolitikker og retningslinjer. Endvidere gennemgik Finanstilsynet SDC’s procedurer for styring af adgange til systemer og data, ændringshåndtering, systemrevision, kontrol med outsourcede it-funktioner samt krav og procedurer til kontrol og rapportering.
Sammenfatning og risikovurdering
Det er Finanstilsynets vurdering, at SDC generelt har fokus på styring og minimering af risici på it-området, men at SDC på en række områder skal styrke krav og dokumentation i relation til it-sikkerheds- og risikostyringen samt ledelsesrapporteringen. Det er endvidere Finanstilsynets vurdering, at SDC i højere grad skal have fokus på at forbedre procedurer og forretningsgange for adgangs- og rettighedsstyring til SDC’s systemer.
Finanstilsynet har påbudt SDC at sikre, at der etableres faste krav til metoden for udarbejdelse af it-risikovurderinger samt at forbedre den løbende it-risikostyring. Dette skal bl.a. ske ved at etablere øgede dokumentationskrav for centrale vurderinger, dokumentere sammenhængen mellem it-risici og kontroller samt på enkelte områder at opstille krav og forventninger til den løbende ledelsesrapportering.
Finanstilsynet har endvidere påbudt SDC at forbedre procedurer og forretningsgange i relation til adgangsstyringen, herunder sikre et tilstrækkeligt overblik over tildelte rettigheder, tilstrækkelig kontrol med anvendelse af adgange samt sikre at kritiske adgange og kritiske kombinationer af rettigheder dokumenteres og risikovurderes.
Finanstilsynet har endvidere påbudt SDC at forbedre og dokumentere krav i relation til test af beredskabsplaner.