Finanstilsynet gennemgik udvalgte dele af IT-området, herunder:
- It-sikkerhedsstyring, IT-strategi, IT-risikostyring, IT-sikkerhedspolitik og overordnede sikkerhedsbestemmelser mv.
- Organisatoriske forhold
- Outsourcing
- IT-drift og -udvikling
- Systemudvikling og projektstyring
- Adgang til systemer og data
- Beredskabsplanlægning
- Systemrevisionens gennemførsel
Sammenfatning og risikovurdering
Det er Finanstilsynets vurdering, at PFA har fokus på styring og minimering af risici på IT-området og generelt har demonstreret et højt niveau på en række nøgleområder i relation til IT-anvendelsen. Endvidere har PFA implementeret en tilfredsstillende ledelsesstyring vedrørende IT-drift og IT-sikkerhed.
PFA har igennem en længere periode arbejdet på at etablere en betryggende administration af adgange til PFA’s systemer. Det er Finanstilsynets vurdering, at PFA generelt har demonstreret en risikobaseret tilgang på området og endvidere har etableret tilstrækkelige forretningsgange for administration og overvågning af adgange til systemer.
Finanstilsynet har dog påbudt PFA yderligere at styrke dele af administrationen af interne adgange til PFA’s systemer. Endvidere har Finanstilsynet påbudt PFA at styrke metoden for IT-risikostyring og herunder fortsætte implementeringen af de sikringstiltag, som PFA har præsenteret for Finanstilsynet.