Sammenfatning og risikovurdering
Det er Finanstilsynets vurdering, at Gensam Data ikke i tiltrækkelig grad har forholdt sig til de risici, som IT-anvendelsen medfører, og ikke har etableret tilstrækkelig styring og rapportering på IT-sikkerhedsområdet. Gensam Data skal i højere grad formalisere og dokumentere forretningsgange samt sikre tilstrækkelig implementering heraf.
Finanstilsynet har påbudt Gensam Data at forbedre IT-sikkerheds- og risikostyringen, herunder at styrke arbejdet med at identificere risici og sikre bedre sammenhæng mellem IT-risici og kontroller, bl.a. som grundlag for bestyrelsesrapporteringen. Endvidere skal Gensam Data i højere grad dokumentere om den besluttede IT-sikkerhedspolitik er implementeret og efterlevet.
Gensam Data skal forbedre adgangsstyringen til system og data, herunder styrke krav til kontrol og overvågning. I relation til ændringsstyringen skal Gensam Data forbedre og dokumentere forretningsgange og kontroller. Gensam Data skal forbedre IT-beredskabet, herunder sikre at beredskabsmålsætningerne er tilstrækkelige og kan efterleves samt forbedre forretningsgange for test.
Endvidere skal Gensam Data sikre, at reglerne om outsourcing af væsentlige aktivitetsområder bliver efterlevet.