1. Indledning
Finanstilsynet gennemgik udvalgte dele af it-området, herunder den generelle it-sikkerhedsstyring, it-strategi, organisation, beredskabsplaner, sikkerhedspolitikker og retningslinjer. Endvidere gennemgik Finanstilsynet Bankdatas procedurer for styring af adgange til systemer og data, ændringshåndtering, systemrevision, kontrol med outsourcede it-funktioner samt krav og procedurer til kontrol og rapportering.
2. Sammenfatning og risikovurdering
Det er Finanstilsynets vurdering, at Bankdata har fokus på styring og minimering af risici på it-området, samt at it-sikkerhedspolitik og sammenhængende it-sikkerhedsbestemmelser grundlæggende er på et tilfredsstillende niveau. Det er dog samtidigt Finanstilsynets vurdering, at Bankdata på flere centrale områder skal højne graden af dokumentation og formalisering i relation til it-sikkerheds- og risikostyring.
Finanstilsynet har påbudt Bankdata at forbedre metoden for it-risikostyring og ledelsesrapportering samt at sikre en bedre dokumentation af sammenhæng mellem it-risici og de etablerede kontrol- og sikringsforanstaltninger. Grundlaget for den samlede it-sikkerhedsstyring skal i højere grad dokumenteres.
Finanstilsynet har endvidere påbudt Bankdata at styrke procedurer og forretningsgange i relation til kontrol med og opfølgning på outsourcingleverandører, herunder at der er udarbejdet tilstrækkelige retningsliner for kontrol, opfølgning og rapportering. Endvidere skal it-risici hos leverandører i højere grad inddrages og synliggøres som led i Bankdatas samlede it-sikkerhedsstyring og ledelsesrapportering. Bankdata har ligeledes fået et påbud relateret til opdatering af systemprogrammel.
Finanstilsynet har endvidere påbudt Bankdata at styrke krav i relation til test af it-beredskabet samt sikre en øget dokumentation af centrale elementer relateret til beredskabsplanlægningen.
Endelig har Finanstilsynet påbudt Bankdata at forbedre adgangsstyringen til systemer og data, herunder sikre et tilstrækkeligt overblik over tildelte rettigheder og tilstrækkelig kontrol med anvendelse af adgange, samt sikre, at kritiske adgange og kritiske kombinationer af rettigheder dokumenteres og risikovurderes. I denne forbindelse skal Bankdata sikre, at der med afsæt i en risikovurdering defineres tilstrækkelige krav til it-sikkerhedslogning, overvågning og ledelsesopfølgning.