Indledning
Finanstilsynet gennemgik udvalgte dele af it-området, herunder den generelle it-sikkerhedsstyring, it-strategi, sikkerhedspolitikker og retningslinjer. Endvidere gennemgik Finanstilsynet FDC’s procedurer for styring af adgange til systemer og data, ændringshåndtering, kontrol med outsourcede it-funktioner samt krav og procedurer til kontrol og rapportering.
Sammenfatning og risikovurdering
FDC har ikke i tilstrækkelig grad implementeret en dokumenteret it-risiko- og sikkerhedsstyring på tværs af virksomheden. Finanstilsynet har således konstateret flere svagheder i relation til FDC’s it-sikkerhedsstyring. Finanstilsynet har påbudt FDC at sikre, at it-sikkerhedspolitikken, med afsæt i FDC’s identificerede it-risici, tager tilstrækkelig stilling til relevante forhold i relation til FDC’s it-anvendelse. Endvidere skal FDC sikre, at krav og forventninger mellem bestyrelse og direktion i relation til it-sikkerhedsstyringen præciseres og dokumenteres.
Finanstilsynet har endvidere påbudt FDC at styrke forretningsgange og dokumentation i relation til it-risikostyring. FDC anlægger generelt en risikobaseret tilgang, men skal i højere grad sikre, at it-risici bliver tilstrækkeligt identificeret, vurderet og dokumenteret, herunder sikre sammenhæng mellem it-risici og imødegående kontrol og sikringsforanstaltninger.
Finanstilsynet har påbudt FDC at sikre, at der etableres tilstrækkelige retningslinjer for ledelsesrapportering og opfølgning på leverandører, således at reglerne om outsourcing fremover bliver efterlevet. Finanstilsynet har også påbudt FDC at sikre, at der foreligger et tilstrækkeligt dokumenteret overblik over FDC’s rettighedsstyring, som kan synliggøre it-risici ved tildeling af adgange til systemer og data. Endvidere skal FDC sikre, at der udarbejdes tilstrækkelige krav til it-sikkerhedslogning og overvågning med afsæt i en risikovurdering.