Inspektionen omfattede følgende områder:
- IT-sikkerhedsstyring, herunder forsvarslinjemodellen
- IT-risikostyring
- IT-outsourcing
- IT-beredskabsstyring
- Systemrevisionens gennemførelse
Sammenfatning
Finanstilsynet vurderer, at Bankdata har væsentlige svagheder i sin IT-sikkerhedsstyring og IT-risikostyring, hvilket medfører forøget risiko. Bankdata kan ikke i tilstrækkelig grad opgøre virksomhedens samlede IT-risikoeksponering og ved dermed ikke om virksomhedens IT-risikotolerance er overskredet.
Bankdata skal sikre uafhængighed mellem datacentralens 1. og 2. forsvarslinje. I forlængelse heraf skal det sikres, at der er tilstrækkelige kompetencer i 1. forsvarslinje, med henblik på at løfte IT-sikkerhedsarbejdet. Bankdata skal endvidere forbedre sammenhængen mellem politikker, forretningsgange og kontroller samt forbedre kontrol og rapportering på efterlevelsen heraf. Finanstilsynet har givet påbud om at afhjælpe de heraf afledte mangler.
Bankdata skal forbedre sin IT-risikostyring og sikre, at IT-risikostyringspolitikken bliver tilstrækkeligt målstyrende, sætter klare rammer for arbejdet med IT-risikostyring og tydeliggør virksomhedens IT-risikotolerance. Endvidere skal Bankdata forbedre IT-risikostyring på tværs af virksomheden samt sikre bedre sammenhæng og dokumentation af arbejdet med IT-risikostyring. Rapporteringen skal forbedres, bl.a. med henblik på at kunne give et tydeligt billede af Bankdatas IT-risici i henhold til Bankdatas IT-risikotolerance. Finanstilsynet har givet påbud om at sikre en bedre IT-risikostyring.
Finanstilsynet har set på udvalgte dele af Bankdatas outsourcing. Bankdata skal sikre en bedre kontrol og indsigt i, om de outsourcede aktiviteter udføres tilfredsstillende og overholder Bankdatas krav. Der skal etableres krav og forretningsgange til IT-risikovurderinger, herunder hvordan risici ved outsourcing indgår i Bankdatas IT-risikostyring og overholder Bankdatas IT-risikotolerance. Finanstilsynet har givet påbud om at sikre bedre styring af outsourcing.
Bankdata har mangler i beredskabsstyringen. Bankdata skal forbedre overblikket over forretningsprocesser, systemer og afhængigheder som grundlag for beredskabsstyringen. Risikovurderinger og konsekvensanalyser skal forbedres med sammenhæng til tidligere beslutninger, sikringstiltag mv. Bankdata skal forbedre krav og metode til at identificere og udvælge relevante beredskabstests, der skal gennemføres. Finanstilsynet har givet Bankdata påbud om at forbedre beredskabsstyringen.