Bilag 4

Bilag

Andre bilag

  • Bilag 1 (Pensionsmæssige risici)

  • Bilag 2 (Investeringsområdet)

  • Bilag 3 (Operationelle risici)

  • Bilag 4 (It-sikkerhed)

  • Bilag 5 (Risikostyringssystemet og risikostyringsfunktionen og vurdering af egen risiko og solvenssituation)

  • Bilag 6 (Det interne kontrolsystem og compliancefunktionen i Arbejdsmarkedets Tillægspension)

  • Bilag 7 (Aktuarfunktionen i Arbejdsmarkedets Tillægspension)

  • Bilag 8 (Intern auditfunktionen i Arbejdsmarkedets Tillægspension)

It-sikkerhed
Bilag 4

Anvendelsesområde og definitioner

1) Dette bilag indeholder bestemmelser om de i bekendtgørelsen omhandlede forhold, der særligt relaterer sig til it-sikkerhedsområdet, herunder it-sikkerhedsstyringen.

Bestyrelsens opgaver og ansvar

2) Bestyrelsen skal beslutte en it-sikkerhedspolitik for Arbejdsmarkedets Tillægspension.

3) It-sikkerhedspolitikken skal ud fra den ønskede risikoprofil på it-området indeholde en overordnet stillingtagen til alle væsentlige forhold vedrørende it-sikkerheden set under hensyn til omfanget og kompleksiteten af Arbejdsmarkedets Tillægspensions it-anvendelse. Følgende forhold kan f.eks. være relevante at tage stilling til:

a) Organisering af it-arbejdet, herunder funktionsadskillelse mellem systemudvikling/-vedligeholdelse, it-drift og Arbejdsmarkedets Tillægspensions daglige drift.

b) Regelmæssig risikovurdering.

c) Beskyttelse af systemer, data, maskinel og kommunikationsveje.

d) Systemudvikling og vedligeholdelse af systemer.

e) Driftsafvikling.

f) Backup og sikkerhedskopiering.

g) Målsætning for beredskabsplaner.

h) Kvalitetssikring.

i) Principper for implementering af politikken i uddybende retningslinjer, forretningsgange og instrukser.

j) Forholdsregler i tilfælde af brud på it-sikkerhedspolitik og sikkerhedsregler.

k) Overholdelse af relevant lovgivning.

l) Rapportering, kontrol og opfølgning.

m) Eventuelle dispensationer fra it-sikkerhedspolitikken.

4) Bestyrelsen skal regelmæssigt og mindst en gang årligt vurdere it-sikkerhedspolitikken, herunder hvorvidt it-sikkerhedspolitikken er tilstrækkelig til at sikre, at de risici, som it-anvendelsen medfører og forventes at medføre, fremover er på et for Arbejdsmarkedets Tillægspension acceptabelt niveau.

5) It-sikkerhedspolitikken skal i videst mulig omfang være uafhængig af den anvendte teknologi.

Direktørens opgaver og ansvar

6) Direktøren skal sikre, at Arbejdsmarkedets Tillægspensions it-sikkerhedspolitik efterleves. Direktøren skal uddybe it-sikkerhedspolitikken i procedurer mv., der understøtter, at

a) ansvar, herunder ejerskab for it-processer og ressourcer, er placeret,

b) funktionsadskillelsen bliver overvåget,

c) der er kontrol med opretholdelse af det ønskede it-sikkerhedsniveau samt håndtering af eventuelle svagheder,

d) systemer og data klassificeres og prioriteres,

e) systemer (både basis- og brugersystemer) og konfiguration (hardware) samt ændringer hertil dokumenteres,

f) der er sikkerhedskopiering af systemer og data, herunder opbevaring af sikkerhedskopierne,

g) der anskaffes tilstrækkelige it-ressourcer,

h) systemudvikling, konfigurering og vedligeholdelse samt afprøvning af nye og ændrede systemer sker betryggende,

i) der foretages test og anden kvalitetssikring,

j) der foretages ændringshåndtering og problemstyring,

k) der sker adgangskontrol til systemer og data, og

l) der er tilstrækkelig fysisk sikkerhed, herunder fysisk adgangskontrol.

7) Herudover skal Direktøren sikre, at der udarbejdes en it-beredskabsplan, der indeholder målsætning for genetablering af normal drift i tilfælde af fejl, nedbrud, tab af data eller systemer samt hel eller delvis ødelæggelse af bygninger, maskinel og kommunikationsveje i overensstemmelse med bestyrelsens målsætning, jf. oven for nr. 3, litra g). I planen skal der være

a) en beskrivelse af, hvorledes der etableres en beredskabsorganisation, samt

b) aktivitetsplaner i tilfælde af alvorlige systemnedbrud, fejl og forstyrrelser i it-anvendelsen.

8) Direktøren skal sikre, at beredskabsplanen afprøves regelmæssigt, og Arbejdsmarkedets Tillægspension skal have regler om rapportering af resultatet af en afprøvning af beredskabsplanen.