Bestyrelsen skal sikre, at virksomhedens IT-sikkerhedspolitik udarbejdes med afsæt i den ønskede risikoprofil på IT-området, og herunder indeholder en overordnet stillingstagen til væsentlige forhold omhandlende IT-sikkerhed. IT-sikkerhedspolitikken skal løbende tilpasses ud fra ændringer i det samlede IT-risikobillede.
Som en væsentlig forudsætning skal virksomheden kunne dokumentere, at der udarbejdes tilstrækkelige og veldokumenterede IT-risikoanalyser og vurderinger, som underbygger den samlede IT-risikovurdering, som grundlag for IT-politikker og målsætninger. Finanstilsynet anlægger som udgangspunkt en helhedsbetragtning af, i hvilket omfang arbejdet med at identificere og imødegå IT-risici er tilstrækkeligt detaljeret, samt at metoden herfor er dokumenteret, implementeret og synliggjort i virksomhedens arbejde, således at de enkelte vurderinger efterfølgende kan kvalitetssikres og efterprøves på en tilfredsstillende måde.
Direktionens grundlæggende ansvar er at sikre, at krav og målsætninger i de af bestyrelsen vedtagne IT-sikkerhedspolitik bliver uddybet i procedurer og forretningsgange, instrukser og kontrol og sikringsforanstaltninger, samt at disse er implementeret og fungerer effektivt. Det er Finanstilsynets vurdering, at dette forudsætter, at direktionen har tilstrækkelig indsigt i virksomhedens IT-risici, samt hvorledes disse er imødegået af politikker og kontrol og sikringsforanstaltninger i virksomheden.
Nedenfor er et uddrag af de områder som ofte vil indgå i Finanstilsynets ”on-site” IT-undersøgelser. Alle områder tilpasses dog den konkrete virksomhed og vægtes ud fra en væsentlighed og risiko.
- IT-strategi, IT-sikkerhedsstrategi og IT-governance, herunder IT-sikkerhedsstyring og IT-risikovurderinger
- IT-beredskabsplanlægning og test af IT-beredskabet
- Outsourcing – efterlevelse af outsourcingbekendtgørelsen og kontrol med leverandøren
- Rettighedstildeling, adgangsstyring og logiske adgangskontroller
- Fysisk sikring og adgangsstyring
- IT-driftsafvikling og overvågning
- Systemrevision - intern og ekstern
- Change management og projektstyring
- Administration og vedligeholdelse af netværk og systemprogrammel
- Strategi og sikringsforanstaltninger imod IT-kriminalitet