Standard 4.4b Hantering av operativa risker - Finanssivalvonta

More documents

Recommendations

Info

Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 FINANSINSPEKTIONEN Utfärdad 25.5.2004 4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare 4.4b Hantering av operativa risker Ändrad senast 22.6.2010 dnr 3/120/2004 26 (40) (46) Instituten ska ha den kompetens, organisation och internkontroll som behövs för att registrera, överföra, behandla och arkivera data elektroniskt. Dessa funktioner kan vara helt eller delvis utlagda, varvid institutet ska säkerställa att leverantören av databehandlingstjänster följer de principer som fastställs i detta avsnitt. (47) Högsta ledningen ska anta en IT-strategi för att säkerställa att en lämplig IT-miljö existerar, underhålls och utvecklas efter nuvarande och framtida behov. Dessutom ska högsta ledningen se till att företaget har rutiner för budgetering och uppföljning av IT-kostnader. (48) För olika delområden av datatekniken ska instituten fastställa riktlinjer, standarder, rutiner och kontroller som möjliggör samarbete mellan affärsområdena och IT-enheterna. Med dem som utgångspunkt ska verkställande ledningen planera, övervaka och utvärdera IT-funktionerna. Vid behov ska ett särskilt samarbetsorgan med företrädare för olika affärsområden tillsättas för samordning av detta arbete. (49) IT-funktionens oberoende ställning i förhållande till användarna ska säkerställas. IT-funktionen svarar för datasystemens utveckling och funktionsförmåga, medan användarna svarar för att den information som behandlas är riktig. (50) Systemutveckling och datadrift ska åtskiljas så att de anställda i dessa funktioner får tillgång till varandras data endast via kontrollerade standardrutiner. Också för driftsättning, ändringshantering och testning av systemen ska det finnas standardrutiner. (51) Instituten ska sörja för att internrevisionen har kompetens att utvärdera de interna IT-kontrollernas funktionsförmåga. (52) Instituten ska utarbeta och upprätthålla metoder för systemering och kvalitetssäkring för att säkerställa att systemen fungerar på planerat sätt och att de dokumenteras i sådan standardiserad form att de går att använda och utveckla i framtiden även om exempelvis nyckelpersoner byts ut. (53) Instituten ska utarbeta rutiner för köp eller godkännande av program- och maskinvara eller kontraktering till externa tjänsteproducenter för att säkerställa att nyanskaffningar och avtal motsvarar företagets behov och gällande standarder och garanterar fortlöpande service. (54) Med olika rutiner och riktlinjer för den fysiska säkerheten och tillräckliga reservsystem minimeras risken för avbrott i datasystemen (eldsvåda, översvämning, elavbrott, maskinfel osv.) och tillgången till känsligt material tfn 010 831 51 Upplysningar: fax 010 831 5297 Marknadsrisker och operativa risker, tfn 010 förnamn.efternamn@fiva.fi www.finanssivalvonta.fi 831 5208
Motivering Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Motivering Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Motivering Utfärdad 18.9.2007 Gäller fr.o.m. 1.11.2007 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 FINANSINSPEKTIONEN Utfärdad 25.5.2004 4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare 4.4b Hantering av operativa risker Ändrad senast 22.6.2010 dnr 3/120/2004 27 (40) (datautrustning, datamedium, dokument etc.) begränsas till behörig personal. 6.7 Informationssäkerhet 6.7.1 Definition av informationssäkerhet och grundläggande krav (55) Informationssäkerhet innebär att företagets data, tjänster, system och datakommunikation är skyddade och säkerställda under både normala och exceptionella förhållanden genom administrativa, tekniska och andra åtgärder. (56) Informationssäkerheten brukar indelas i åtta åtgärdsområden: administrativ säkerhet, personalsäkerhet, fysisk säkerhet, kommunikationssäkerhet, maskinvarusäkerhet, programvarusäkerhet, datasäkerhet och användarsäkerhet 4 . (57) Allmänna krav på säkerheten för information som förvaras, överförs och behandlas är • konfidentialitet (skydd av information mot otillbörlig insyn) • integritet (riktighet, dvs. skydd av information mot oönskad förändring) • tillgänglighet (informationen är åtkomlig för behöriga i rätt tid). (58) Systemen ska ha en åtkomstkontroll. Också oavvisligheten av de transaktioner som utförs samt identifieringen och autentiseringen av de kommunicerande parterna ska vara säkerställd. Vidare ska de transaktioner som hanteras i systemen kunna spåras. 6.7.2 Uppläggning och ansvar för informationssäkerheten (59) Institutets allmänna informationssäkerhet och de olika datasystemens säkerhetsnivå ska vara tillfredsställande i förhållande till verksamhetens art och omfattning, hoten mot systemen och den allmänna tekniska utvecklingsnivån. (60) Högsta ledningen svarar för att institutets informationssäkerhet är tillfredsställande. Den allmänna nivån på företagets informationssäkerhet ska fastställas och godkännas av högsta ledningen. Högsta ledningen ska tilldela tillräckliga resurser och delegera ansvaret för att informationssäkerheten håller tillräckligt hög nivå. Instituten ska regelbundet utvärdera sin 4 Ledningsgruppen för datasäkerhet i statsförvaltningen (VAHTI): VAHTI 4/2003, Valtionhallinnon tietoturvakäsitteistö. tfn 010 831 51 Upplysningar: fax 010 831 5297 Marknadsrisker och operativa risker, tfn 010 förnamn.efternamn@fiva.fi www.finanssivalvonta.fi 831 5208
Page 1 and 2: Standard 4.4b Hantering av operativ
Page 3 and 4: FINANSINSPEKTIONEN Utfärdad 25.5.2
Page 5 and 6: Utfärdad 22.6.2010 Gäller fr.o.m.
Page 9 and 10: 4 RÄTTSGRUND Utfärdad 18.9.2007 G
Page 11 and 12: Motivering Utfärdad 25.5.2004 Gäl
Page 13 and 14: Bindande Utfärdad 25.5.2004 Gälle
Page 19 and 20: Rekommendation Utfärdad 25.5.2004
Page 23 and 24: Tillämpningsråd Utfärdad 18.9.20
Page 25: Tillämpningsråd Utfärdad 18.9.20
Page 31 and 32: Motivering Utfärdad 25.5.2004 Gäl
Page 39 and 40: 9 YTTERLIGARE FINANSINSPEKTIONEN Ut

Standard 4.4b Hantering av operativa risker - Finanssivalvonta

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?