Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015



Relevanta dokument
Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Nya regler om styrning och riskhantering

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Svar på revisionsskrivelse informationssäkerhet

Policy och instruktioner för regelefterlevnad

Vetenskapsrådets informationssäkerhetspolicy

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll. Lina Rollby Claesson, Compliance Forum

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Välkommen till enkäten!

Finansinspektionens författningssamling

Outsourcing IT. Fullmäktiges revisionsfunktion Anders Thunholm, KPMG PROTOKOLLSBILAGA G Fullmäktiges protokoll , 10

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy

Ledningssystem för IT-tjänster

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy KS/2018:260

skapa ett ökat mervärde uppnå ännu bättre resultat bidra positivt till människors tillvaro

Instruktion för funktionen för regelefterlevnad

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION

Finansinspektionens författningssamling

Bilaga 1: Riskanalys för ersättningspolicy

Finansinspektionens författningssamling

Punkt 19 Riktlinje för regelefterlevnad

Riktlinjer för IT-säkerhet i Halmstads kommun

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Informationssäkerhetspolicy

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Myndigheten för samhällsskydd och beredskaps författningssamling

F Ö R E R S Ä T T N I N G S S Y S T E M

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Enheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424

Punkt 15: Riktlinje för outsourcing. Riktlinje för outsourcing. Tjänsteutlåtande Diarienummer:

Finansinspektionens författningssamling

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

Dnr

Göran Engblom IT-chef

RISKANALYS AV SVENSKA LÄRARFONDERS ERSÄTTNINGSSYSTEM OCH ERSÄTTNINGSINSTRUKTION

Välja säkerhetsåtgärder

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015

Mottagarorienterat arbetssätt för styrning av informationssäkerhet. Bengt Berg Head of Compliance Management Services Cybercom Sweden East AB

Hantering av IT-risker

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Finansinspektionens författningssamling

Strålsäkerhetsmyndighetens kravbild gällande organisation och slutförvar

Information om pågående granskning Outsourcing IT

Policy för informationssäkerhet

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

I Central förvaltning Administrativ enhet

Revisionsrapport: Informationssäkerheten i den tekniska miljön

Granskning av IT-säkerhet

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Riktlinjer och Instruktion för klagomålshantering

TRE STEG TILL ETT LYCKAT HÅLLBARHETSARBETE

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Driftsäkerhet. Ett utbildningsmaterial för god funktion och säkerhet i stadsnäten

Ersättningspolicy. Adrigo Asset Management AB. Senast fastställd Fastställs

Finansinspektionens författningssamling

Lämplighetsprövning i Solvens 2

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Ledningssystem för Informationssäkerhet

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Granskning av informationssäkerhet inom Landstinget i Kalmar län

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Ledningssystem för Informationssäkerhet

Har företaget verkliga huvudmän som har skatterättslig hemvist utomlands? Ja Om ja, hur många? Om ja, vilket land/vilka länder?

Granskning av IT-säkerhet

Granskning intern kontroll

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Sveriges riksbank. Fullmäktiges revisionsfunktion Slutrapport Utvärdering av outsourcing av IT-drift KPMG AB

Det första steget mot ett gemensamt språk

Zmartic Fonder AB ERSÄTTNINGSPOLICY. Fastställd av styrelsen i Zmartic Fonder AB den 28 november 2013.

Ersättningspolicy. iaib AB. Upprättad av Andreas Olsson Godkänd av Styrelsen Version iaib AB

Informationssäkerhetspolicy

Ledningssystem för systematiskt kvalitetsarbete

Administrativ säkerhet

Ersättningspolicy för Rhenman & Partners Asset Management AB

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Informationssäkerhetspolicy för Umeå universitet

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Nordiska Kreditmarknadsaktiebolaget (publ)

SOSFS 2011:9 ersätter

Bedömning av egenvård - riktlinje

Transkript:

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance, risk and compliance. Våra tjänster skapar trygghet och möjligheter för myndigheter, företag och andra organisationer inom en rad olika branscher. Transcendent Group har fyra år i rad utsetts till en av Sveriges bästa arbetsplatser.

Bakgrund FI gör löpande tillsyn och temaundersökningar. Under de senaste 5 åren har 12 tillstånd återkallats och 54 sanktioner utdelats. Kraven har succesivt förtydligats utifrån FFFS 2005:1 och RGKFS 2011:2. Gäller för bankaktiebolag, kreditmarknadsbolag med flera.

Hur många har ett insättningssystem inom bolaget?

Hur många av er har outsourcat insättningssystemet?

Inget nytt under solen FFFS 2014:5 specificerar kraven i FFFS 2005:1 inom informationssäkerhet, IT-verksamhet och insättningssystem. Kraven bygger till stor del på standarderna ISO27000, ISO31000 och COBIT. Policy Riktlinje Kapitel 2, informationssäkerhet Kapitel 3, IT-verksamhet Instruktion Kapitel 4, insättningssystem

Kapitel 2, informationssäkerhet Kraven inkluderar: ledningssystem för informationssäkerhet (LIS) mål och inriktning för arbetet med informationssäkerhet roller och ansvar för informationssäkerhet informationsklassificering årlig riskanalys kring företagets informationssäkerhet interna regler för arbetet med informationssäkerhet Allmänna råd Behörigheter lyfts fram explicit.

Vanliga fallgropar Ledningssystem för informationssäkerhet (LIS) riskerar att bli en pappersprodukt. Avsaknad av förankring hos ledningen riskerar att uppföljning inte genomförs och att avsteg inte hanteras. Avsaknad av informationsklassificering leder till att organisationer inte vet vad de skall skydda, till vilken nivå och till vilken kostnad. Riskanalys är en förutsättning för att kunna prioritera rätt.

Kapitel 3, IT-verksamhet Kraven inkluderar: IT-system säkras baserat på informationsklassning och riskanalys dokumenterade mål och strategier för IT-verksamhet dokumenterade processer för förvaltning av IT-systemen dokumentation över alla IT-system som är av betydelse för verksamheten uppdragsavtal regleras i FFFS 2014:1 (kap. 10) och FFFS 2007:16 (kap. 9).

Vanliga fallgropar Vi ser ofta informella rutiner och arbetssätt utan dokumentation. Avsaknad av dokumentation över IT-systemen, framförallt egenutvecklade system. Begränsat samarbete mellan IT och verksamhet. Oregelbunden eller informell uppföljning av utlagda IT-system.

Kapitel 4, insättningssystem Applicerbart för företag som tar emot insättningar som omfattas av statlig insättningsgaranti. Förtaget skall automatiskt kunna sammanställa data om insättare och deras insättningar i enlighet med RGKFS 2011:2. Årlig riskanalys som innefattar insättningssystemet. Dokumenterade funktioner och rutiner för att säkerställa informationssäkerheten relaterat till insättningssystemet. Internrevisionen ska årligen granska insättningssystemet samt de tekniska funktionerna och rutinerna.

Vanliga fallgropar Ej testad rutin för att rapportera till Riksgäldskontoret. Riskanalysen inkluderar inte insättningssystemet. Kontinuitetsplaner fokuserar på tekniken, inte på verksamhetsriskerna. Internrevisionen saknar ibland resurser för att genomföra den årliga granskningen av insättningssystemet, vilket är ett absolut krav. Mindre aktörer har ofta utmaningar med resurser medans större aktörer ofta har en mer komplex systemarkitektur.

Hur gör man? Transcendent Group Sverige AB 2015

Första steget är en gap-analys Kartlägg vad som finns på plats utifrån FI:s föreskrifter och allmänna råd. Involvera rätt personer inom verksamheten och eventuella systemleverantörer.

Kap. 2 Informationssäkerhet Förankra arbetet med informationssäkerhet hos ledningen. Informationsklassningen och riskanalysen är en förutsättning för en effektiv och ändamålsenligt informationshantering.

Kap. 3 IT-verksamhet Dokumentera ner faktiska rutiner för att tydliggöra vad som faktiskt gäller, vilket är ett krav. Säkerställ att systemdokumentation finns och är uppdaterad. Bjud in till aktiv dialog mellan IT och verksamheten.

Kap. 4 Insättningssystem Insättningssystem Företagets funktion för internrevision ska årligen granska företagets insättningssystem. Granskningen ska dokumenteras och rapporteras till styrelsen. Testa kontinuitets- och katastrofplanerna.

www.transcendentgroup.com

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss