Finansinspektionens författningssamling



Relevanta dokument
Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy inom Stockholms läns landsting

Finansinspektionens författningssamling

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Finansinspektionens författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Informationssäkerhetspolicy. Linköpings kommun

Nya regler om styrning och riskhantering

Finansinspektionens författningssamling

Dnr

Finansinspektionens författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Svensk författningssamling

Finansinspektionens författningssamling

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Rikspolisstyrelsens författningssamling

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Finansinspektionens författningssamling

Välkommen till enkäten!

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

1(6) Informationssäkerhetspolicy. Styrdokument

Revisorsnämndens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Lotteriinspektionens författningssamling

SOSFS 2005:12 (M) Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Socialstyrelsens författningssamling

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Skåne läns författningssamling

Finansinspektionens författningssamling

Svensk författningssamling

Dokumentnamn: Policy för Ersättning Beslutad av: Styrelsen för Ulricehamns Sparbank Dokumentägare: Administrativ chef

Informationssäkerhetspolicy för Ånge kommun

Finansinspektionens författningssamling

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Svensk författningssamling

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Remiss förslag till tydligare krav på clearingorganisationers hantering av operativa risker

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Organisation för samordning av informationssäkerhet IT (0:1:0)

Svensk författningssamling

Svensk författningssamling

Finansinspektionens författningssamling

Riktlinjer för informationssäkerhet

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Ersättningspolicy. iaib AB. Upprättad av Andreas Olsson Godkänd av Styrelsen Version iaib AB

Svensk författningssamling

Finansinspektionens författningssamling

Instruktion för funktionen för regelefterlevnad

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Koncernkontoret Enheten för säkerhet och intern miljöledning

Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll. Lina Rollby Claesson, Compliance Forum

Informationssäkerhetspolicy för Umeå universitet

Svensk författningssamling

Riktlinjer för informationssäkerhet

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Policy för informationssäkerhet

Svensk författningssamling

Riktlinjer för IT-säkerhet i Halmstads kommun

Svensk författningssamling

Nya krav på systematiskt informationssäkerhets arbete

Finansinspektionens författningssamling

Policy för intern styrning och kontroll

3.4 Förslag till nya allmänna råd om att söka tillstånd att driva bank- och finansieringsrörelse eller ge ut elektroniska pengar

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Policy för informationssäkerhet

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

I Central förvaltning Administrativ enhet

Transkript:

Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem; Utkom från trycket den x månad 201x beslutade den x månad 2014. Finansinspektionen föreskriver 1 följande med stöd av 5 kap. 2 4 förordningen (2004:329) om bank- och finansieringsrörelse samt 6 kap. 1 9 12 och 29 förordningen (2007:572) om värdepappersmarknaden, och lämnar allmänna råd. 1 kap. Tillämpningsområde 1 Dessa föreskrifter innehåller bestämmelser om hur ett företag ska hantera itsystem, informationssäkerhet och insättningssystem. 2 Dessa föreskrifter gäller för följande företag: 1. bankaktiebolag, 2. sparbanker, 3. medlemsbanker, 4. kreditmarknadsbolag, 5. kreditmarknadsföreningar, och 6. värdepappersbolag. Definitioner 3 I dessa föreskrifter betyder 1. konfidentialitet: förhållandet att information inte görs tillgänglig eller avslöjas för obehöriga, 2. incident: detsamma som i 1 kap. 5 2 Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:XX) om hantering av operativa risker, 3. interna regler: detsamma som i 1 kap. 3 5 Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:XX) om styrning, riskhantering och kontroll i kreditinstitut, 1 Jfr Europaparlamentets och rådets direktiv 2009/14/EG av den 11 mars 2009 om ändring av direktiv 94/19/EG om system för garanti av insättningar, vad gäller täckningsnivån och utbetalningsfristen (EUT L 68, 13.3.2009, s. 3, Celex 32009L0014). 1

4. process: detsamma som i 1 kap. 5 5 Finansinspektionens föreskrifter och allmänna råd om hantering av operativa risker, 5. riktighet: egenskap hos information som innebär att informationen inte obehörigen, av misstag eller på grund av funktionsstörning förändras, 6. spårbarhet: en möjlighet att entydigt kunna härleda utförda aktiviteter och vilken person eller systemfunktion som har utfört dessa, och 7. tillgänglighet: en möjlighet att kunna använda information i förväntad utsträckning och inom önskad tid. 2 kap. It-system Säkerhet 1 Ett företag ska se till att dess it-system är tillräckligt säkra i förhållande till arten hos den information som det hanterar i systemen. Företaget bör när det bedömer om it-systemen är tillräckligt säkra utgå från den klassificering av information som ska göras enligt 3 kap. 5. Mål och strategi 2 Ett företag ska ha dokumenterade övergripande mål och strategier för sin itverksamhet. Den verkställande direktören ska besluta om företagets övergripande mål och strategier och regelbundet utvärdera och uppdatera dessa om det behövs. Ansvariga 3 Ett företag ska säkerställa att det är tydligt vem som ansvarar för de olika delarna av företagets it-organisation och dess processer för it-verksamheten. För varje it-system ska företaget utse en ansvarig person eller organisatorisk enhet (systemägare). 2

Processer 4 Ett företag ska ha ändamålsenliga processer för sina it-system. Företaget ska dokumentera processerna och beskriva de förhållanden som är av betydelse för att det ska kunna hantera it-systemen på ett kontrollerat sätt. Företaget ska beakta verksamhetens art, omfattning och komplexitet när det tillämpar första stycket. De processer som företaget ska dokumentera bör omfatta 1. inköp, utveckling och underhåll, 2. drift, inklusive säkerhetskopiering, samt återställning av system och data, 3. incidenthantering, 4. ändringshantering, och 5. test. Dokumentation över it-system 5 Ett företag ska ha en dokumentation över varje enskilt it-system som är av betydelse för verksamheten. Vilka systemen är ska framgå av en förteckning som ska uppdateras regelbundet. Uppdragsavtal (outsourcing) 6 Bestämmelser om uppdragsavtal finns i 10 kap. Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:XX) om styrning, riskhantering och kontroll i kreditinstitut och 9 kap. Finansinspektionens föreskrifter (FFFS 2007:16) om värdepappersrörelse. 3 kap. Informationssäkerhet Ledningssystem för informationssäkerhet 1 Ett företag ska arbeta strukturerat och metodiskt med informationssäkerhet genom att använda sig av ett ledningssystem. Detta innebär att företaget, i enlighet med 2 9, ska ange mål och inriktning för arbetet med informationssäkerhet, tydligt ange hur ansvaret för informationssäkerheten inom verksamheten fördelas och utse en person som ansvarar för att leda och samordna arbetet med informationssäkerhet, klassificera sin information, genomföra riskanalyser och besluta om hur risker ska hanteras, och fastställa interna regler. Med informationssäkerhet avses skydd av konfidentialitet, riktighet och tillgänglighet hos information. Mål och inriktning 3

2 Ett företag ska fastställa och dokumentera mål och inriktning med sitt informationssäkerhetsarbete. Styrelsen eller den verkställande direktören ska besluta om målen och inriktningen på informationssäkerhetsarbetet. Ansvar för informationssäkerhet och samordning 3 Ett företag ska säkerställa att det är tydligt hur ansvaret för informationssäkerheten inom verksamheten fördelas. 4 Ett företag ska utse en person som ansvarar för att leda och samordna arbetet med informationssäkerhet. Informationsklassificering 5 Ett företag ska klassificera sin information för att den ska få rätt skyddsnivå. Klassificeringen ska utgå från de krav som ställs på informationens konfidentialitet, riktighet och tillgänglighet i verksamheten. Företaget ska dokumentera klassificeringen och utse personer eller organisatoriska enheter som ansvarar för den information som hanteras inom verksamheten. Riskanalyser 6 Ett företag ska årligen och vid förändringar som har betydelse för informationssäkerheten, utföra riskanalyser. Företaget ska utifrån dessa analyser och inträffade incidenter besluta om hur det ska hantera identifierade risker. Företaget ska dokumentera riskanalyserna och sina beslut om åtgärder. Interna regler 7 Ett företag ska fastställa interna regler för informationssäkerhet. Företaget ska beakta arten, omfattningen och komplexiteten i sin verksamhet när det utformar de interna reglerna för informationssäkerhet. Företagets interna regler bör ange krav på 1. fysisk säkerhet, 2. skydd av datakommunikation och drift, vilket omfattar krav på vilka aktiviteter i it-system som ska vara spårbara samt krav på att driftsmiljön är separerad från test- och utvecklingsmiljöer, 3. åtkomst till information, 4. säkerhetskrav på it-system vid inköp, utveckling och underhåll, 5. rapportering och hantering av informationssäkerhetsrelaterade incidenter, och 6. regelbunden kontroll av företagets it-system mot den fastställda skyddsnivån för information enligt 5. 8 Ett företags interna regler enligt 7 ska ange hur företaget ska tilldela, ändra och ta bort åtkomstbehörigheter till it-system. Företaget ska regelbundet, dock 4

minst årligen, kontrollera att befintliga åtkomstbehörigheter är begränsade till användarnas behov utifrån tilldelade arbetsuppgifter. 9 Ett företag ska se till att de interna reglerna enligt 7 regelbundet utvärderas och vid behov uppdateras. 4 kap. Insättningssystem Tillämpningsområde 1 Bestämmelserna i detta kapitel gäller för företag som tar emot eller avser att ta emot insättningar som omfattas av insättningsgaranti enligt lagen (1995:1571) om insättningsgaranti. Insättningssystem 2 Ett företag ska när det hanterar sin information om insättare och deras insättningar använda it-system som gör det möjligt för företaget att automatiskt sammanställa data om insättare och deras insättningar i enlighet med Riksgäldskontorets föreskrifter (RGKFS 2011:2) om instituts skyldighet att lämna uppgifter om insättare och deras insättningar. Riskanalyser 3 Ett företag ska årligen analysera de risker som är hänförliga till de it-system som företaget använder för att hantera sin information om insättare och deras insättningar. Analysen ska innefatta skyddet för informationens riktighet och systemintegriteten hos it-systemet. Analysen ska även omfatta informationens konfidentialitet och tillgänglighet. Med systemintegritet avses i dessa föreskrifter att ett it-system kan upprätthålla sin avsedda funktion och därigenom skyddas mot oönskad påverkan, ändring eller insyn. Funktioner och rutiner 4 Ett företag ska se till att it-systemen enligt 2 har tekniska funktioner och att det finns administrativa rutiner för att säkerställa 1. åtkomstkontroll, 2. att aktiviteter i it-system och ändringar av it-system är spårbara, 3. systemintegritet, 4. informationens riktighet, och 5. att systemets drift kan återställas utan dröjsmål efter avbrott. Företaget ska dessutom besluta vilka ytterligare tekniska funktioner och administrativa rutiner som är nödvändiga utifrån de riskanalyser det ska utföra enligt 3. Dokumentation 5 Ett företag ska utöver de krav som anges i 2 kap. 6 särskilt dokumentera de tekniska funktioner och administrativa rutiner som ett företag ska ha enligt 4. 5

Dokumentationen ska uppdateras regelbundet. Granskning och rapportering 6 Företagets funktion för internrevision ska årligen granska företagets insättningssystem samt de tekniska funktioner och administrativa rutiner som är av betydelse för säkerheten i systemet. Om företaget saknar en funktion för internrevision ska det uppdra den årliga granskningen till någon som har särskild kompetens inom säkerhetsområdet. Granskningen ska dokumenteras och rapporteras till företagets styrelse. Företaget bör i granskningen utgå från allmänt etablerade principer för säkerhet. Dessa föreskrifter och allmänna råd träder i kraft den 1 maj 2014. MARTIN ANDERSSON 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss