Veiledning i etterlevelse av IKT-forskriften for mindre foretak

Transkript

1 Veiledning i etterlevelse av IKT-forskriften for mindre foretak Kredittilsynet v Side 1 av 19

2 INNLEDNING Med bakgrunn i finansforetakenes økte bruk og avhengighet av IKT, utarbeidet Kredittilsynet en forskrift om bruk av informasjons og kommunikasjonsteknologi i finanssektoren (IKT-forskriften). Nyeste versjon av forskriften (forskrift nr. 630) trådde i kraft den 1. august 2003 og gjelder for de fleste virksomheter Kredittilsynet fører tilsyn med. Samtidig som IKT er et viktig verktøy for å understøtte og realisere foretakenes forretningsdrift, kan IKT innebære en risiko for feil og ved bortfall sette forretningsvirksomheten ut av spill. IKT-forskriften bidrar til å sette en standard for IKTvirksomheten i foretaket. Den fokuserer på IKT-prosessene hvor stikkord er rutiner og dokumenterte prosedyrer. Mange små foretak som omfattes av IKT-forskriften har gitt uttrykk for at de synes det er vanskelig å vite hvordan de kan etterleve forskriften fordi foretakene er små og har begrenset IKT-virksomhet og forskriften i utgangspunktet virker omfattende. Dette indikerer at det kan være behov for en veiledning til forskriften som er rettet spesielt mot mindre foretak der IKT-virksomheten er begrenset. Kredittilsynet har nå laget en slik veiledning spesielt ment for foretak med 1-5 ansatte. Denne gangen har vi valgt en noe annen måte å formulere veiledningen på enn vi har gjort i tidligere veiledninger. Vi har tatt utgangspunkt i et fiktivt eiendomsmeglingsforetak og brukt dette som et eksempel på hvordan et lite foretak kan sikre at det etterlever IKT-forskriften. Kredittilsynet v Side 2 av 19

3 EKSEMPEL PÅ HVORDAN ET MINDRE EIENDOMSMEGLINGSFORETAK KAN ETTERLEVE IKT- FORSKRIFTEN Presentasjon av foretaket "Hus på høyden" og deres IKT-virksomhet "Hus på høyden" er et mindre eiendomsmeglingsforetak som ble etablert i januar 2005 i en middels stor norsk by. Selskapet solgte 51 eiendommer i Foretaket har 2,5 stillinger med 3 ansatte; Gerd, Ole og Bent. De ansatte sitter i landskap ved hver sin pult. En av de fulltidsansatte i foretaket, Gerd, er utnevnt til IKT-ansvarlig. Hun har gjennomført sertifisering i bruk av de vanlige kontorstøttesystemene og opparbeidet kompetanse på drift og vedlikehold av arbeidsstasjoner (PC-er). Foretaket har tre stasjonære PC-er og en filserver som er koblet i et lokalt nettverk. Foretaket har en printer og en skanner. Foretaket abonnerer på internettilgang fra en bredbåndsleverandør. Som beskyttelse mellom lokalt nettverk og Internett er det installert en router med brannmurprogramvare. Foretaket har valgt et meglersystem med lokal lagring av dataene. Meglersystemet er installert med serverprogramvare og database på filserveren, og klientprogramvare på hver av arbeidsstasjonene. Foretaket kjøper regnskapstjenester fra et av de store regnskapsførerforetakene. Bankkonto for klientmidlene opereres via Nettbank Bedrift. PC-ene har installert standard kontorstøttesystemer. Foretakets dokumentasjon av hvordan de etterlever IKT-forskriften "Hus på høyden" har vurdert hvilken fremgangsmåte de skal bruke for å sikre at de etterlever IKT-forskriften. "Hus på høyden" har besluttet å lage en håndbok for IKTvirksomheten hvor det under hvert kapittel er referanser til paragrafer i IKT-forskriften. På den måten dokumenterer foretaket at det har gjort en gjennomgang av forskriften samtidig som foretaket kan vise til dokumentasjon for sine vurderinger og/eller rutiner for de ulike områdene av IKT-virksomheten. I håndboken refereres det til aktuelle maler og skjemaer som brukes for å operasjonalisere rutinene. Nedenfor gjengir vi "Håndbok for IKT-virksomheten i Hus på høyden". Maler og skjemaer det refereres til, er i varierende grad inkludert. Dette er med hensikt fordi dette ikke er ment å være en oppskrift, men heller et eksempel som kan gi ideer og innspill til mindre foretak i arbeidet med å sikre og dokumentere IKT-virksomheten og etterleve IKT-forskriften. Kredittilsynet v Side 3 av 19

4 Håndbok for IKT-virksomheten i "Hus på høyden" En eksemplifisert veiledning i etterlevelse av IKT-forskriften for mindre foretak. Kredittilsynet, 16.oktober 2006 Kredittilsynet v Side 4 av 19

5 Innholdsfortegnelse Kapittel 1: IKT-strategi Kapittel 2: Risikoanalyse Kapittel 3: Kvalitet Kapittel 4: Sikkerhet Kapittel 5: Endringshåndtering, anskaffelse og installasjon Kapittel 6: Systemvedlikehold og drift Kapittel 7: Kontinuitet og beredskap Kapittel 8: Dokumentasjon Revisjonshistorikk Versjonsnr. Dato Beskrivelse av endring Signatur Godkjent versjon GGG Lagt til i kap. 4 om antispionprogramvare GGG Årlig gjennomgang av håndboka utført. GGG Kredittilsynet v Side 5 av 19

6 Kapittel 1: IKT-strategi Ref. IKT-forskriftens 2 Planlegging og organisering og 12 Utkontraktering 2 Planlegging og organisering Foretaket skal fastsette overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten. Det skal foreligge beskrivelse av den enkelte prosess og hvordan ansvaret for administrasjon, anskaffelse, utvikling, drift, systemvedlikehold, sikring av informasjon og avvikling utføres på en betryggende måte. Ved utkontraktering av deler eller hele IKT-virksomheten skal foretaket ha egne retningslinjer som skal sikre leveransen. Det skal oppnevnes en ansvarlig i foretaket for de ulike deler av IKT-virksomheten. Med ansvarlig menes en funksjon eller stilling. 12 Utkontraktering Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKT-virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å inspisere og kontrollere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon. Avtalen skal videre sikre at Kredittilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren der Kredittilsynet finner det nødvendig som et ledd i tilsynet med foretaket. Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKT-leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen. Forretningsstrategi "Hus på høyden" er et lite eiendomsmeglingsforetak som opererer i en nisje av markedet. Vi har spesialisert oss på salg av mindre hus på høyden. Vi har ikke ambisjoner om å bli blant de største i bransjen, men har som målsetning å vokse til det tidobbelte. IKT-ansvarlig Selv om "Hus på høyden" er et lite foretak, vurderer vi det som viktig å formalisere rollen som IKT-ansvarlig for å sikre at ansvar for oppgaver innen IKT-virksomheten er plassert og dokumentert. Det er laget en stillingsinstruks for IKT-ansvarlig som viser hvilke oppgaver som omfattes av denne stillingen. Stillingsinstruksen skal gjennomgås i samband med årlig risikoanalyse av IKT-virksomheten. IKT-ansvarlig skal ha minimum fem dager med kurs hvert år for å holde kompetansen ved like. Nettsted på Internett "Hus på høyden" har etablert et eget nettsted på Internett: Nettstedet blir oppdatert gjennom et samarbeid med leverandøren av Meglersystemet. Nettstedet er vår viktigste kanal for markedsføring og informasjon ut mot kundene, og informasjonen på denne skal alltid være korrekt og oppdatert. skal være definert som startside i nettleseren til alle ansatte, og alle har et ansvar for å regelmessig kontrollere informasjonen på siden. I løpet av 2006 er det et mål å utvide funksjonaliteten på nettstedet med mulighet for elektronisk kommunikasjon med kundene. Kredittilsynet v Side 6 av 19

7 Bruk av meglersystem "Hus på høyden" ønsker å utføre megleroppdragene på en profesjonell måte. Vi vil bruke et elektronisk meglersystem fordi vi mener det er med på å sikre en forutsigbar håndtering av oppdragene. "Hus på høyden" har tre lisenser til Meglersystemet og har inngått avtale med leverandøren av Meglersystemet om bistand til installasjon, brukeropplæring og support. Foretaket er for lite til at det blir tilbudt å delta i brukerforumet som er opprettet i tilknytning til Meglersystemet. Dersom antall lisenser til Meglersystemet øker til mer enn 5, vil vi søke om å få delta i brukerforumet fordi vi ser dette som en mulighet til å øke vår påvirkningskraft i forhold til endringer og videreutvikling av systemet. Vi har valgt et meglersystem som er basert på at data lagres lokalt. Vi er klar over at dette stiller større krav til drift internt i foretaket enn om vi for eksempel hadde valgt et nettbasert produkt hvor data lagres sentralt hos leverandøren. IKT-ansvarlig har ansvar for å holde seg oppdatert om teknologi, funksjonalitet og pris på ulike meglersystem som finnes på markedet. I forbindelse med årlig gjennomgang av IKT-strategien, skal selskapet vurdere endringer i applikasjonsporteføljen. Utvikling "Hus på høyden" utvikler ikke systemer selv. Vi skal bruke standard programvare og applikasjoner. Egen drift kontra utkontraktert drift "Hus på høyden" har besluttet at så lenge salget av eiendommer er begrenset til mindre enn 100 i året og antall ansatte er mindre enn 6, tar vi hånd om IKT-virksomheten selv. Øker salget til over dette, vil vi vurdere å utkontraktere større deler av IKT-virksomheten. Dette skal evalueres årlig og er lagt inn som et punkt i risikoanalysen. "Hus på høyden" er kjent med at både Dataforeningen og Statskonsult har laget veiledninger og eksempler på standardavtaler med IKT-leverandører for forvaltning og drift av IKT-systemene. Før avtale med en IKT-leverandør blir inngått, vil innholdet i avtalen bli vurdert opp mot standardavtalene som ledd i å sikre best mulig kontroll med IKT-virksomheten ved en utkontraktering. Operasjonalisering av rutiner "Hus på høyden" har laget skjemaer i excel for å følge opp IKT-virksomheten. Vi vurderer dette som et tilstrekkelig verktøy for å formalisere og operasjonalisere IKTprosessene, også i forhold til å imøtekomme en økning i aktiviteten. Etterlevelse av lover og regler "Hus på høyden" har konsesjon fra Kredittilsynet og omfattes av IKT-forskriften. For å sikre regelmessig vurdering av om IKT-forskriften etterleves, skal denne håndboka gjennomgå en årlig evaluering. Det skal kvitteres for gjennomført evaluering i tabellen for versjonshåndtering på side 2 i håndboka. Kredittilsynet v Side 7 av 19

8 Kapittel 2: Risikoanalyse Ref. IKT-forskriftens 3 Risikoanalyse 3 Risikoanalyse Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene. Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen. Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres. Innen utgangen av juni hvert år skal det gjennomføres en risikoanalyse av IKTvirksomheten. Risikoen som avdekkes gjennom analysen sammen med tiltakene som spesifiseres, skal til sammen gi en situasjon der det totale risikobildet på IKT-området er innenfor akseptable grenser. Risikoanalysen skal være datert og signert, og denne signaturen er en bekreftelse på at risikoen er vurdert som akseptabel "Hus på høyden" har laget en enkel mal i excel for risikoanalysen. Se inneværende års risikoanalyse her: Kredittilsynet v Side 8 av 19

9 Kapittel 3: Kvalitet Ref. IKT-forskriftens 4 Kvalitet og 9 Avviks- og endringshåndtering 4 Kvalitet Foretaket skal fastsette kvalitetsmål for de enkelte deler av IKT-virksomheten knyttet opp mot foretakets øvrige mål. Foretaket skal ha dokumenterte prosedyrer for oppfølging av fastsatte kvalitetsmål. 9 Avviks- og endringshåndtering Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges. Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering. Prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift. For "Hus på høyden" betyr kvalitet tilgjengelighet og riktige data. "Hus på høyden" har definert følgende krav til kvalitet i IKT-virksomheten: Data om kunder, eiendommer, bud og salg skal være korrekte. Nødvendige funksjoner som meglersystem og nettbank skal være tilgjengelige i arbeidstiden fra kl til "Hus på høyden" bruker avviksrapporten som verktøy for å måle kvaliteten. Feil på maskin- eller programvare eller avvik i driftsrutinene skal registreres.. Ved månedsslutt skal IKT-ansvarlig gjøre en totalvurdering av kvaliteten på IKT-virksomheten. Kvaliteten skal graderes etter følgende skala: God Tilfredstillende Mindre tilfredstillende Ikke tilfredstillende Samlet resultat året sett under ett, skal vurderes i forbindelse med årlig risikoanalyse. "Hus på høyden" har laget en enkel mal i excel for avviksrapporten. Se utsnitt fra inneværende års avviksrapport på neste side. Kredittilsynet v Side 9 av 19

10 Avviksrapport Kredittilsynet v Side 10 av 19

11 Kapittel 4: Sikkerhet Ref. IKT-forskriftens 5 Sikkerhet 5 Sikkerhet Foretaket skal utarbeide prosedyrer som skal sikre beskyttelse av utstyr, systemer og informasjon av betydning for foretakets virksomhet, jf. 1, mot skader, misbruk, uautorisert adgang og endring, samt hærverk. Videre skal prosedyrene inneholde retningslinjer for tildeling, endring, sletting og kontroll med autorisasjon for tilgang til IKTsystemene. Kravene til IKT-sikkerhet skal så langt det er praktisk mulig være målbare. Oppfyllelse av kravene til informasjonssikkerhet for personopplysninger etter forskrift av nr 1265 til personopplysningsloven skal anses som oppfyllelse av kravene i paragrafen her. "Hus på høyden" har bestemt disse tiltakene for å ivareta sikkerheten: IKT-ansvarlig skal defineres som administrator på alle arbeidsstasjoner. Andre ansatte skal defineres som lokal bruker på sin maskin. Arbeidsstasjonene skal konfigureres til å låses etter femten minutter når maskinene ikke brukes. Arbeidsstasjonene skal konfigureres slik at bruker må bytte passord på PC-ene minimum hver 3. måned. Meglersystemet skal konfigureres slik at bruker må bytte passord for tilgang hver 3. måned. Når en ansatt slutter, skal IKT-ansvarlig fjerne tilgangen til Nettbank Bedrift og slette brukernavn og passord til Meglersystemet for den som slutter. Det skal installeres antivirus-programvare på alle PC-er. Arbeidsstasjonene og filserveren skal være konfigurert slik at oppdateringer av antivirus-programvare skjer automatisk. Det skal installeres antispion-programvare på alle maskiner. Det er satt opp en router med brannmurprogramvare som beskyttelse mellom det lokale nettverket og Internett. Arbeidsstasjonene skal være konfigurert slik at oppdatering og annet vedlikehold av operativsystemet skjer automatisk. Det er installert tyverialarm i lokalene. Der ikke annet er nevnt, er det IKT-ansvarlig som er ansvarlig for at tiltakene blir gjennomført. Kredittilsynet v Side 11 av 19

12 Kapittel 5: Endringshåndtering, anskaffelse og installasjon Ref. IKT-forskriftens 6 Utvikling og anskaffelse og 9 Avviks- og Endringshåndtering 6 Utvikling og anskaffelse Foretaket skal ha skriftlige prosedyrer for anskaffelse, utvikling, videreutvikling og testing av IKT-systemer. IKTsystemene skal ikke settes i ordinær drift før ansvarlig har godkjent dette. 9 Avviks- og endringshåndtering Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges. Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering. Prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift. Endringshåndtering "Hus på høyden" definerer endringer og endringshåndtering i IKT-virksomheten som a) å ta i bruk ny maskinvare eller lisensiert programvare b) håndtere nye versjoner eller feilrettinger av maskinvare eller lisensiert programvare. Ønsker om endringer i funksjonalitet i Meglersystemet kan IKT-ansvarlig melde til foretakets kontaktperson hos leverandøren. Foretaket er for lite til å delta i brukerforumet som er opprettett i tilknytning til Meglersystemet. Dersom antall lisenser til Meglersystemet øker til mer enn 5, vil foretaket søke om å få delta i brukerforumet. Anskaffelse "Hus på høyden" har laget en inventarliste som inneholder informasjon om alt utstyr knyttet til IKT-virksomheten. Lista er delt i tre med en del for maskinvare, en del for programvare og en del for lisenser. For hvert registrert objekt skal det angis status for om maskin- eller programvaren er i bruk eller er utrangert. Det inngår i IKT-ansvarlig sin arbeidsinstruks å holde inventarlista oppdatert. Installasjon og godkjenning Før foretaket tar i bruk ny maskin eller programvare eller nye versjoner av eksisterende maskin eller programvare, skal IKT-ansvarlig teste systemet. Ved større endringer som for eksempel introduksjon av ny funksjonalitet, skal det opprettes et eget dokument som viser resultatet av testen. Både ny maskin-/programvare og nye versjoner av eksisterende systemer skal registreres i inventarlista. Etter gjennomført og godkjent test, skal IKT-ansvarlig kvittere ut i Kredittilsynet v Side 12 av 19

13 inventarlista at systemet etableres i produksjon. I de tilfellene det er laget et eget testdokument, skal det legges inn en lenke til dette fra inventarlista. Hvis nye versjoner av Meglersystemet medfører endringer i konfigurasjonen av systemet, skal dokumentasjonen av installasjonsparametrene oppdateres og lagres i bankboks som del av katastrofeløsningen. IKT-ansvarlig skal legge til rette for at de andre ansatte får den nødvendige opplæringen i forbindelse med endringer i maskin eller programvare. Se eksempel på inventarliste på neste side. Kredittilsynet v Side 13 av 19

14 Inventarlista Kredittilsynet v Side 14 av 19

15 Kapittel 6: Systemvedlikehold og drift Ref. IKT-forskriftens 7 Systemvedlikehold, 8 Drift og 9 Avviks- og endringshåndtering 7 Systemvedlikehold Foretaket skal sikre at IKT-systemene vedlikeholdes og forvaltes på en måte som gir en stabil, planlagt og forutsigbar drift. Det skal foreligge dokumenterte prosedyrer for systemvedlikeholdet. 8 Drift Driften av IKT-virksomheten skal være basert på dokumenterte prosedyrer, som sikrer fullstendig, rettidig og korrekt dataproduksjon, behandling og oppbevaring av produksjonsdata samt tilgjengelighet av IKT-systemene. 9 Avviks- og endringshåndtering Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges. Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering. Prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift. IKT-ansvarlig har ansvar for daglig backup av data til DVD som lagres i brannsikkert skap og ukentlig backup av data til DVD som lagres i bankboks. Det vises til oppsatt plan med detaljert liste over filer og programvare som omfattes av daglige og ukentlige backup- rutiner. IKT-ansvarlig har ansvar for daglig kontroll av virusdeteksjon. Alle driftsrutiner skal daglig kvitteres ut i driftsrapporten med signaturen til den som har utført jobben. I IKT-ansvarligs fravær er det den IKT-ansvarlig har utpekt som stedfortreder, som skal utføre kontrollen. Eventuelle avvik i driftsrutinene overføres til Avviksrapporten. Se utsnitt fra inneværende års driftsrapport på neste side. Kredittilsynet v Side 15 av 19

16 Driftsrapport Kredittilsynet v Side 16 av 19

17 Kapittel 7: Kontinuitet og beredskap Ref. IKT-forskriftens 10 Krav til kontinuitet og 11 Driftsavbrudd og katastrofeberedskap 10 Krav til kontinuitet Foretaket skal ha en oppdatert kontinuitetsplan. Foretaket skal etablere en prosedyre for kontinuitet hvor roller, ansvarsoppgaver og risiko defineres. Foretaket skal med bakgrunn i risikoanalyse, jf. 3, definere IKT-systemer av betydning for foretakets virksomhet som skal dekkes av kontinuitetsplanen. Kontinuitetsplanen skal blant annet inneholde -identifisering og vurdering av enkeltelementer som kan svikte og iverksette tiltak -klare kriterier for oppstart av reserveløsningen -gjenopprettingsprosedyrer -informasjon til ledelse, ansatte, eventuelt kunder og leverandører. Det skal gjennomføres opplæring, øvelse og testing av reserveløsningene i et omfang som gir trygghet for at reserveløsningene fungerer tilfredstillende. Testene skal dokumenteres slik at gjennomføring og resultat kan vurderes i ettertid. 11 Driftsavbrudd og katastrofeberedskap Foretaket skal ha en dokumentert katastrofeplan som skal iverksettes dersom IKT-driften ikke kan opprettholdes som følge av en katastrofe. Med katastrofe menes hendelser som forårsaker driftsavbrudd slik at foretakets IKT-drift ikke kan fortsette med normalt tilgjengelige ressurser. Katastrofeplanen skal minst omfatte -oversikt over IKT-systemer som inngår i katastrofeplanen -beskrivelse av katastrofeløsningen -klare kriterier for oppstart av katastrofeløsningen -akseptabel lengde på et driftsavbrudd før katastrofeløsningen iverksettes -prosedyrer som inneholder de nødvendige aktiviteter for å gjenopprette IKT-driften -oversikt over ansvarsforhold og prosedyrer ved oppstart av katastrofeløsningen -informasjon til berørte ansatte, leverandører, kunder, offentlige myndigheter og media. Det skal minst en gang årlig gjennomføres opplæring, øvelse og test i et omfang som gir tilstrekkelig trygghet for at katastrofeløsningen virker som forutsatt. Resultatet av testen skal dokumenteres slik at det er mulig å kontrollere. "Hus på høyden" har veldefinerte prosedyrer for IKT-virksomheten, inkludert et sett med sikkerhetsregler, og vurderer dette som ledd i å sikre kontinuitet i IKT-virksomheten. Vi skriver rutinemessig ut alle prospekt, bud og salg på papir ved dagens slutt. Dette oppbevares i brannsikkert skap sammen med daglig backup av data på DVD. Dette reduserer konsekvensene ved midlertidig brudd på tilgjengeligheten til datasystemet. "Hus på høyden" vurderer bortfall av IKT-støtten i et tidsrom på mer enn tre arbeidsdager til å være kritisk. IKT-ansvarlig har ansvar for at dokumentasjon av konfigurasjon/installasjonsparametere for Meglersystemet oppbevares i bankboks sammen med ukentlig backup av data på DVD. Avtalen med leverandøren av Meglersystemet innbefatter support til installasjon av systemet basert på dette materialet, på en innleid arbeidsstasjon. "Hus på høyden" har Kredittilsynet v Side 17 av 19

18 vurdert dette til å være tilstrekkelig sikring i tilfelle det oppstår en katastrofesituasjon som gjør lokaler og maskinpark utilgjengelig. IKT-forskriften stiller krav til at det skal gjøres en årlig test av at katastrofeløsningen virker som forutsatt. I samarbeid med leverandøren av Meglersystemet ble det gjort test av installering av systemet basert på installasjonsdokumentasjonen og data på DVD: Dato Installasjonsresultat Kommentar Signatur OK GGG Kredittilsynet v Side 18 av 19

19 Kapittel 8: Dokumentasjon Ref. IKT-forskriftens 13 Dokumentasjon 13 Dokumentasjon Det skal foreligge en samlet oppdatert oversikt over organisasjon, utstyr, IKT-systemer og vesentlige forhold i IKTvirksomheten. Det skal foreligge oppdatert dokumentasjon av det enkelte IKT-system som er av betydning for foretakets virksomhet og som dokumenterer at forskriftens krav er oppfylt til enhver tid. "Hus på høyden" har dokumentert IKT-virksomheten gjennom følgende dokumentasjon og planverk: o Håndbok for IKT-virksomheten i "Hus på høyden" (dette dokumentet) o Stillingsinstruks for IKT-ansvarlig o Risikoanalyse o Inventarliste o Avviksrapport o Driftsrapport o Plan for backup o Sjekkliste for konfigurasjon av arbeidsstasjoner o Installasjonsparametere Meglersystemet o Oversikt over brukertilganger Kredittilsynet v Side 19 av 19