Bilag 4

Bilag

Andre bilag

  • Bilag 1 (Forsikringsmæssige risici)

  • Bilag 2 (Investeringsområdet)

  • Bilag 3 (Operationelle risici)

  • Bilag 4 (It-sikkerhed)

  • Bilag 5 (Tilrettelæggelse af arbejdet i bestyrelsen)

  • Bilag 6 (Risikostyringssystemet, risikostyringsfunktionen og vurdering af egen risiko og solvens i gruppe 1-forsikringsselskaber)

  • Bilag 7 (Det interne kontrolsystem og compliancefunktionen i gruppe 1-forsikringsselskaber)

  • Bilag 8 (Aktuarfunktionen i gruppe 1-forsikringsselskaber)

  • Bilag 9 (Intern auditfunktionen i gruppe 1-forsikringsselskaber)

It-sikkerhed
Bilag 4

Anvendelsesområde og definitioner

1) Dette bilag indeholder bestemmelser om de i bekendtgørelsen omhandlede forhold, der særligt relaterer sig til it-området, herunder it-sikkerhedsstyringen.

Bestyrelsens opgaver og ansvar

2) Bestyrelsen skal beslutte en it-sikkerhedspolitik for virksomheden.

3) It-sikkerhedspolitikken skal ud fra den ønskede risikoprofil på it-området indeholde en overordnet stillingtagen til alle væsentlige forhold vedrørende it-sikkerheden. Hvad der er væsentligt afhænger bl.a. af virksomhedens størrelse samt omfanget og kompleksiteten af virksomhedens it-anvendelse. Følgende forhold kan f.eks. være relevante at tage stilling til:

a) Organisering af it-arbejdet, herunder funktionsadskillelse mellem systemudvikling/-vedligeholdelse, it-drift og virksomhedens forretningsførelse.

b) Regelmæssig risikovurdering.

c) Beskyttelse af systemer, data, maskinel og kommunikationsveje.

d) Systemudvikling og vedligeholdelse af systemer.

e) Driftsafvikling.

f) Backup og sikkerhedskopiering.

g) Målsætning for beredskabsplaner.

h) Kvalitetssikring.

i) Principper for implementering af politikken i uddybende retningslinjer, forretningsgange og instrukser.

j) Forholdsregler i tilfælde af brud på it-sikkerhedspolitik og sikkerhedsregler.

k) Overholdelse af relevant lovgivning.

l) Rapportering, kontrol og opfølgning.

m) Eventuelle dispensationer fra it-sikkerhedspolitikken.

4) Bestyrelsen skal regelmæssigt og mindst en gang årligt vurdere it-sikkerhedspolitikken, herunder hvorvidt it-sikkerhedspolitikken er tilstrækkelig til at sikre, at de risici, som it-anvendelsen medfører og forventes at medføre, fremover er på et for virksomheden acceptabelt niveau.

5) It-sikkerhedspolitikken skal i videst mulig omfang være uafhængig af den anvendte teknologi.

Direktionens opgaver og ansvar

6) Direktionen skal sikre, at virksomhedens it-sikkerhedspolitik efterleves. Direktionen skal uddybe it-sikkerhedspolitikken i procedurer mv., der understøtter, at

a) ansvar, herunder ejerskab for it-processer og ressourcer, er placeret,

b) funktionsadskillelsen bliver overvåget,

c) der er kontrol med opretholdelse af det ønskede it-sikkerhedsniveau samt håndtering af eventuelle svagheder,

d) systemer og data klassificeres og prioriteres,

e) systemer (både basis- og brugersystemer) og konfiguration (hardware) samt ændringer hertil dokumenteres,

f) der er sikkerhedskopiering af systemer og data, herunder opbevaring af sikkerhedskopierne,

g) der anskaffes tilstrækkelige it-ressourcer,

h) systemudvikling, konfigurering og vedligeholdelse samt afprøvning af nye og ændrede systemer sker betryggende,

i) der foretages test og anden kvalitetssikring,

j) der foretages ændringshåndtering og problemstyring,

k) der sker adgangskontrol til systemer og data, og

l) der er tilstrækkelig fysisk sikkerhed, herunder fysisk adgangskontrol.

7) Herudover skal direktionen sikre, at der udarbejdes en it-beredskabsplan, der indeholder målsætning for genetablering af normal drift i tilfælde af fejl, nedbrud, tab af data eller systemer samt hel eller delvis ødelæggelse af bygninger, maskinel og kommunikationsveje i overensstemmelse med bestyrelsens målsætning, jf. ovenfor nr. 3 (g). I planen skal der, afhængig af virksomhedens forhold, være

a) en beskrivelse af, hvorledes der etableres en beredskabsorganisation, samt

b) aktivitetsplaner i tilfælde af alvorlige systemnedbrud, fejl og forstyrrelser i it-anvendelsen.

8) Beredskabsplanen skal afprøves regelmæssigt, og den finansielle virksomhed skal have regler om rapportering af resultatet af en afprøvning af beredskabsplanen.