Indledning
Finanstilsynet gennemgik udvalgte dele af IT-området, herunder den generelle IT-sikkerhedsstyring, IT-strategi, organisation, beredskabsplaner, sikkerhedspolitikker og retningslinjer. Endvidere gennemgik Finanstilsynet Jyske Banks procedurer for styring af adgange til systemer og data, ændringshåndtering, systemrevision, kontrol med outsourcede IT-funktioner samt krav og procedurer til kontrol og rapportering.
Sammenfatning og risikovurdering
Det er Finanstilsynets vurdering, at Jyske Bank ikke har etableret tilstrækkelig styring og rapportering på IT-sikkerhedsområdet. Dette har medført risiko for, at direktionen og bestyrelsen ikke i tilstrækkeligt omfang er bekendte med det reelle IT-risikobillede. Det er også Finanstilsynets vurdering, at Jyske Bank ikke fuldt ud efterlever lovgivningens krav på IT-området, herunder i relation til bankens outsourcing af væsentlige IT-aktiviteter.
Finanstilsynet har påbudt Jyske Bank at styrke IT-sikkerhedsstyringen og ledelsesrapporteringen samt at forbedre den løbende kontrol og opfølgning med den faktiske IT-sikkerhedsimplementering både i banken og hos IT-leverandørerne. Endvidere skal ledelsens krav og forventninger til IT-sikkerhedsarbejdet mv. i højere grad præciseres og dokumenteres.
Finanstilsynet har endvidere påbudt Jyske Bank at etablere en tilstrækkelig metode for IT-risikostyring dækkende både banken og opgaveløsningen hos de IT-leverandører, der outsources til. Der skal bl.a. etableres en bedre dokumentation af sammenhængen mellem IT-risici og de imødegående kontrol- og sikringsforanstaltninger, der danner grundlag for bankens IT-sikkerhedsstyring. Endvidere skal Jyske Bank sikre, at der er etableret tilstrækkelige krav til roller og ansvarsplacering i IT-risikoarbejdet.
Jyske Bank er ligeledes blevet påbudt at sikre, at bankens interne forretningsgange og krav i henhold til bekendtgørelsen om outsourcing af væsentlige aktivitetsområder bliver tilstrækkeligt efterlevet.
Finanstilsynet har endvidere påbudt Jyske Bank at forbedre krav til ændringsstyring, herunder tilstrækkelig opfølgning og kontrol med ændringer til produktionssystemerne, funktionsadskillelse samt adgange til fortrolige data.
Jyske Bank er blevet påbudt at sikre, at der udarbejdes tilstrækkelige risiko- og konsekvensvurderinger som grundlag for beredskabsmålsætninger og beredskabsplaner. Endvidere skal Jyske Bank forbedre krav og forretningsgange til beredskabskoordineringen i banken og hos væsentlige outsourcingleverandører. Forretningsgange og krav til test af beredskabsplaner skal styrkes, og det skal endvidere sikres, at beredskabsplaner og relevante test-scenarier bliver tilstrækkeligt testet.
Finanstilsynet har ligeledes påbudt Jyske Bank at forbedre adgangs- og rettighedsstyringen til systemer og data. Samtidigt skal det sikres, at der er etableret tilstrækkelige krav til IT-sikkerhedslogning med afsæt i en risikobaseret tilgang.