Har du styr på Bilag 5 til ledelsesbekendtgørelsen for pengeinstitutter?
Og lever du op til de specificerede krav inden for alle fem hovedområder?
Kravomfanget kan virke uoverskueligt!
Kravomfanget kan virke uoverskueligt for nogle finansielle virksomheder, da kravene er udvidet fra ca. fire sider til omkring 12 sider.
Bilag 4 som anvendes til pensions og forsikringsvirksomheder og bilag 5 som anvendes til banker, sparekasser, kreditinstitutioner og fælles datacentraler har indtil denne større opdatering fulgtes ad, men ved denne opdatering er det kun Bilag 5, der er ændret og Bilag 4 er bibeholdt i sin nuværende form.
Argumentationen fra Finanstilsynet er at den tidligere version var principper, hvor den opdateret version er mere rådgivende og forklarende. De tilsynsbesøg der har været på tværs af den finansielle sektor, bærer også præg af at man i inspektionsøjemed anvender Bilag 5 også til tilsyn af forsikrings- og pensionsselskaber.
Løsning
LinkGRC har i en årrække hjulpet finansielle virksomheder med arbejdet omkring Bilag 4 og Bilag 5.
Vi har standardiseret arbejdet og udarbejdet skabeloner for alle delelementer som f.eks politikker, forretningsgange og kontroller, og vi vedligeholder løbende IT-risikovurderinger af de 20-25 mest anvendte tredjeparts leverandører.
Sammen med en række pengeinstituter, har vi udviklet en IT-sikkerhedsløsning der kan indeholde og ”sætte strøm” på alt materialet. Arbejdet er styret via tjeklister så man f.eks kan starte sit årshjul med at udarbejde en forretningskonsekvensanalyse, hvorefter udvalgte forretningsprocesser, systemer og leverandører kan it-risikohåndteres. Løsningen baserer sig på at man løbende kan vedligeholde og sikre via opgaver og automatiserede notifikationer at disse udføres til tiden.
Der kan nemt skabes et overblik over områdernes tilstand både til direktion og bestyrelse men også i tilfælde af f.eks en it-inspektion fra ekstern revisor eller tilsyn.
Løsningen spiller sammen med anden funktionalitet i vores platform som f.eks operationel risikostyring, hændelsesregistrering, revision og compliance opfølgninger.
De fem hovedområder, som du skal have styr på!
Beredskab
- Business Impact Analyse (BIA) i Excel og Word med oversigt over processer, Recovery Time Objective (RTO’er) og leverandører
- Forretnings-kontinuitetsplaner for kritiske processer
- Genopretningsplaner for kritiske systemer
- Testrapporter
- Review af beredskabs- og genopretningsplan
- Test af beredskabs- og genopretningsplan samt opdatering.
IT-risikostyring
- Review af politik, metode og forretningsgange (inkl. udkast til evt. manglende), herunder roller og ansvar, risikoappetit, trusler og sårbarheder
- Risikovurdering af identificerede systemer
- Risikovurdering af identificerede leverandører
- Risikovurdering af forretningsprocesser
- Trusselskatalog
- Gennemgang af uddannelse og awareness.
Forretningsgange / Politikker
- Review af / udkast til politik for it-sikkerhed/informationssikkerhed jf. plan
- Review af / udkast til forretningsgange jf. plan inkl. overblik over og klassifikation af IT-aktiver
- Udarbejdelse af de påkrævede forretningsgange eller de der måtte mangle i forhold til Bilag 5.
- Udarbejdelse af kontroller og kontrolprocesser i relation til forretningsgange
Rapportering
- Review af rammer og omfang, herunder IT-sikkerhedshændelser til eksterne parter som fx Finanstilsynet, efterlevelse af IT-sikkerhedspolitik til bestyrelsen
- Rapportudkast til bestyrelse
- Rapportudkast til Finanstilsynet
- Rapportudkast til direktion.
- Compliance overblik
IT-strategi
- Review / udarbejdelse af handleplaner
- Overblik over roller og ansvar – Target Operating Model for hver af de fem hovedområder
- Rapportering på fremdrift / implementering af strategi og handleplaner.