Standard 4.4b Hantering av operativa risker - Finanssivalvonta

More documents

Recommendations

Info

Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 FINANSINSPEKTIONEN Utfärdad 25.5.2004 4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare 4.4b Hantering av operativa risker Ändrad senast 22.6.2010 dnr 3/120/2004 28 (40) informationssäkerhetsnivå. Om det inte finns tillräcklig datasäkerhetsexpertis inom den egna organisationen, ska instituten uppdra utvärderingen åt en utomstående konsult med tillräcklig sakkunskap. Konstaterade brister i säkerheten måste omedelbart åtgärdas. 6.7.3 Bedömning av risker som hänför sig till informationssäkerhet (61) Bedömningen av informationssäkerhetsnivån ska basera sig på regelbunden utvärdering av riskerna i informationssäkerheten. I riskanalyserna fastställs institutets viktigaste verksamheter och resurser och analyseras hotbilder och verksamheternas och resursernas sårbarhet för hoten. Vidare uppskattas eventuella effekter på institutets verksamhet om hoten realiseras. För hantering av identifierade risker måste tillräckliga kontroller byggas in. Också riskerna med nya tekniker och tjänster ska bedömas före introduktionen. (62) Rutiner för bedömning av informationssäkerhetsriskerna ska byggas in i riskhanteringen för att högsta ledningen ska kunna bilda sig en uppfattning om samverkan mellan alla väsentliga risker i verksamheten. 6.7.4 Informationens och systemens ägare (63) Instituten ska fastställa ägarna till den information som företaget förvarar och hanterar. Ägarna ska svara för principerna för användning av informationen och systemen, behörigheter och säkerhet. De ska också bevilja behörighet att utnyttja informationen. Instituten ska klassificera den information som förvaras och hanteras enligt säkerhetskraven och utarbeta hanteringsregler för olika säkerhetsklasser. 6.7.5 Behörigheter (64) Instituten ska bevilja behörighet att använda information, program och system, samt övervaka användningen av systemen enligt samordnade regler som godkänts av ledningen. Tilldelningen av användarbehörigheter ska basera sig på användarens arbetsuppgifter. Instituten ska begränsa tillträdet till data, program och system med tekniska metoder (användaridentifikationer, lösenord osv.) samt rapportera och undersöka överskridningar av användarbehörigheterna. 6.7.6 Informationssäkerhetsregler och utbildning (65) Instituten ska ha uppdaterade informationssäkerhetsprinciper godkända av högsta ledningen och andra informationssäkerhetsregler, som företagets anställda ska känna till. Exempel på informationssäkerhetsregler är bland annat bestämmelser om fastställande av behörigheter, bekämpning av skadliga program samt användningen av Internet och e-post. Instituten ska tfn 010 831 51 Upplysningar: fax 010 831 5297 Marknadsrisker och operativa risker, tfn 010 förnamn.efternamn@fiva.fi www.finanssivalvonta.fi 831 5208
Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Motivering Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Bindande Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Tillämpningsråd Utfärdad 18.9.2007 Gäller fr.o.m. 1.11.2007 FINANSINSPEKTIONEN Utfärdad 25.5.2004 4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare 4.4b Hantering av operativa risker Ändrad senast 22.6.2010 dnr 3/120/2004 29 (40) klart fastställa informationssäkerhetsansvaret för varje anställd och ge de anställda regelbunden informationssäkerhetsutbildning. Informationssäkerheten ska kontinuerligt utvecklas och ansvaret för detta ska klart fastställas på chefsnivå. 6.7.7 Behandlingen av informationssäkerhetsfall (66) Fall som gäller bristande informationssäkerhet ska åskådliggöras, analyseras, dokumenteras och rapporteras till namngivna ansvariga inom organisationen. 6.7.8 Informationssäkerhet i datanätet (67) Onlinetjänsternas informationssäkerhet beror bland annat på vilka handlingsmönster som använts för tjänsterna (ex. manuella arbetsmoment), vilka tillämpningar som använts, hur säkra de tekniska systemen och datakommunikationen är. (68) Innan existerande tjänster börjar bjudas ut eller nya tjänster introduceras i datanät ska instituten bedöma om tjänsterna är lämpliga att tillhandahålla över nätet. De största riskerna med tjänsterna och riskhanteringsmetoderna ska dokumenteras och nödvändiga kontroller ska byggas in i systemet. Riskhanteringen och internkontrollen av onlineverksamhet, datasystem och interna processer ska planeras och läggas upp så att verksamhetens art och omfattning och hoten mot verksamheten beaktas. Instituten ska själva analysera den totala risken i onlineverksamheten med jämna mellanrum eller låta göra en extern bedömning av den. Instituten ska på löpande basis analysera och utveckla sina datasystem och informationssäkerheten samt på ett tillfredsställande sätt skydda sig mot olika störningar och eventuellt missbruk. 6.7.9 Utveckling av säkra onlinetjänster (69) För att trygga informationssäkerheten ska instituten innan de lanserar en tjänst se till att åtminstone följande kriterier uppfylls: • En riskanalys har utförts och nödvändiga riskhanteringsåtgärder har vidtagits. • Säkerhetsbesiktning av respektive system har gjorts. Dessutom ska systemens säkerhetsnivå följas upp fortlöpande, deras sårbarhet analyseras och nödvändiga systemuppdateringar och -korrigeringar installeras. • Störningar i systemen och eventuella fall av missbruk och försök till missbruk ska följas upp fortlöpande och rapporteras på tfn 010 831 51 Upplysningar: fax 010 831 5297 Marknadsrisker och operativa risker, tfn 010 förnamn.efternamn@fiva.fi www.finanssivalvonta.fi 831 5208
Page 1 and 2: Standard 4.4b Hantering av operativ
Page 3 and 4: FINANSINSPEKTIONEN Utfärdad 25.5.2
Page 5 and 6: Utfärdad 22.6.2010 Gäller fr.o.m.
Page 9 and 10: 4 RÄTTSGRUND Utfärdad 18.9.2007 G
Page 11 and 12: Motivering Utfärdad 25.5.2004 Gäl
Page 13 and 14: Bindande Utfärdad 25.5.2004 Gälle
Page 19 and 20: Rekommendation Utfärdad 25.5.2004
Page 23 and 24: Tillämpningsråd Utfärdad 18.9.20
Page 25 and 26: Tillämpningsråd Utfärdad 18.9.20
Page 27: Motivering Utfärdad 25.5.2004 Gäl
Page 31 and 32: Motivering Utfärdad 25.5.2004 Gäl
Page 39 and 40: 9 YTTERLIGARE FINANSINSPEKTIONEN Ut

Standard 4.4b Hantering av operativa risker - Finanssivalvonta

Create successful ePaper yourself

Delete template?

Save as template?