Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0

Like dokumenter
Egenevalueringsskjema

Foretakets navn : Dato: Underskrift :

Egenevalueringsskjema

Egenevalueringsskjema

Søknadsskjema etter finansforetaksforskriften 3-2

Mobilbank kontrollspørsmål apper

Evalueringsskjema. Foretakets virksomhet knyttet til Systemer for Betalingstjenester. Foretakets navn : Dato: Underskrift :

Pressebriefing 11. april 2013

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

Pressebriefing 12. april Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Seminar om betalingssystemer og IKT i finanssektoren,

Overordnet IT beredskapsplan

Utfordringer innen IKTområdet PwC 20. september 2011

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005

Veiledning i etterlevelse av IKT-forskriften for mindre foretak

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Revisjon av IKT-området i en mindre bank

Risiko- og sårbarhetsanalyse (ROS) 2005

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

3.1 Prosedyremal. Omfang

Veiledning i etterlevelse av IKT-forskriften for eiendomsmeglingsforetak

FINANSIELL INFRASTRUKTUR MAI ANNA GRINAKER

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Systemer for betalingstjenester Utfordringer innen Styring og Kontroll, Operationell Risiko og Organisatorisk Kompleksitet

Egenevalueringsskjema

Kompetansemål fra Kunnskapsløftet

Risiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT)

Pressebriefing 9. april 2015

Egenevalueringsskjema

Risikovurdering av Public 360

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Egenevalueringsskjema

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Risiko- og sårbarhetsanalyse (ROS-analyse) for 2007 av finansforetakenes bruk av IKT.

Egenevalueringsskjema

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Hvorfor samarbeid om PSD2?

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Finanstilsynets årsmelding Styreleder Endre Skjørestad Pressekonferanse 10. mars 2011

Har du kontroll på verdiene dine

DIGITALISERING I BETALINGSSYSTEMET. HVA KAN BLI BEDRE, OG HVA ER UTFORDRINGENE? KNUT SANDAL, FINANSNÆRINGENS DIGITALISERINGSKONFERANSE, 1.

Brukerveiledning for ERP leverandør/tredjepart om registrering av OCR avtaler med web grensesnitt til Nets. Versjon 1.0

VEILEDNING I ETTERLEVELSE AV IKT-FORSKRIFTEN FOR MINDRE SPAREBANKER

Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Egenevalueringsskjema

Bilag 6 Vedlegg 3 Definisjoner

Program for overvåking av nettselskapets nøytralitet

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

AutoPASS Beskrivelse av forundersøkelse for IST langtidstesting

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

Internkontroll og informasjonssikkerhet lover og standarder

Dette bilaget inkluderes i Avtalen for kunder som har et høyere Servicenivå enn standard leveringsvilkår.

Tekniske standarder for gjennomføring av Solvens II

Ofte stilte spørsmål om hvitvaskingsregelverket - Praktisk etterlevelse -

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Technical Integration Architecture Teknisk integrasjonsarkitektur

Krav til nye utlån med pant i bolig

Krav til nye utlån med pant i bolig

Krav til retningslinjer og rutiner for posisjoner i handelsporteføljen for kapitaldekningsformål

DATO: 15. juni NUMMER: 14/8978 m.fl. markedstilsyn

Innspill til nytt hvitvaskingsrundskriv

Felles varslingskrav for aktørene i NICS. (Norwegian Interbank Clearing System)

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

INFORMASJON OM KUNDEKLASSIFISERING

Felles varslingskrav for aktørene i NICS (Norwegian Interbank Clearing System) 2018

7 tegn på at dere bør bytte forretningssystem

Seminar 3. mai Identifiserte risikoområder Tilsynsrådgiver Stig Ulstein

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

7 tegn på at dere bør bytte forretningssystem

VEDLEGG TIL KUNDEAVTALE ORDREFORMIDLING NOR SECURITIES AS RETNINGSLINJER FOR ORDREFORMIDLING NOR SECURITIES AS

Aktuelt fra Kredittilsynet. v/anne Merethe Bellamy 18. september 2007

Kundens kravspesifikasjon ERP-løsning for kommunene i DDV-samarbeidet

Dette bilaget inkluderes i Avtalen for kunder som har et høyere Servicenivå enn standard leveringsvilkår.

Betalingssystemer og IKT i finanssektoren 27. mai 2015

Regler for avregning og oppgjør av transaksjoner som inngår i Norwegian Interbank Clearing System (NICS)

Derfor trenger du BankID på nettstedet ditt

Bilag 5 Tjenestenivå med standardiserte prisavslag

Personvern - sjekkliste for databehandleravtale

Krav til finansforetakenes utlånspraksis for forbrukslån

Egenevalueringsskjema

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

PSD 2. Olav Johannessen Seksjonsleder tilsyn IT og betalingstjenester Finanstilsynet

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

IT-sikkerhet ved outsourcing. 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Avtale mellom Utviklings- og kompetanseetaten og Leverandør: Drift av fasttelefoni Bilag 5: Tjenestenivå med standardiserte kompensasjoner

Finanstilsynets retningslinjer for forsvarlig utlånspraksis for forbrukslån

Retningslinjer for identifisering og håndtering av interessekonflikter i Sbanken ASA

Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet

Tilsyn med finansmarkedet FINANSTILSYNET

Retningslinjer for forsikringsselskapenes interne klagebehandling

Sikkerhet i BankID 2.0 (Web-klient) Frode B. Nilsen Drifts- og utviklingssjef, BankID Norge

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Protokoll fra: Revisjonskomiteen Møtedato: kl Møteleder: Andreas Kjær Møtested: Quality Hotell Strand Gjøvik

Transkript:

Evalueringsskjema Foretakets nettbankvirksomhet Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Evalueringsskjema for foretakets nettbankløsning Rangering av prosess Gjenno m- ført dato: Nettbank 1 Avtaler Nettbank 2 Krav til nettbankløsningen Nettbank 3 Sikkerhet Nettbank 4 Endringshåndtering og installasjon Nettbank 5 Kontinuitets- og katastrofehåndtering Nettbank 6 Avviks- og hendelseshåndtering Nettbank 7 Overvåkning 2 Finanstilsynet

Nettbank 1 Avtaler 1. Er det definert krav til servicenivå (tilgjengelighet, konfidensialitet, integritet) for nettbankløsningen? 2. Er det gjort en vurdering av om avtaler med deltagende institusjoner 1 er tilstrekkelige til å sikre regulering av de forhold som berører nettbankløsningen? 3. Dersom det er inngått avtaler med eksterne IT-leverandører, regulerer disse partenes rettigheter og plikter? 4. Er det utarbeidet krav til servicenivå i avtalene med eksterne IT-leverandører? 5. Er det utført en risikovurdering av avtalene med eksterne IT-leverandører? 6. Er de ulike krav til sikkerhet for eksterne ITleverandører (for eks. taushetsplikt) identifisert og avtalt? 7. Er det laget avtaler om kundenes rettigheter, plikter og finansielle risiko? 1 Deltagende institusjoner kan være andre banker, BBS, Norges Bank o.a. 3 Finanstilsynet

Nettbank 2 Krav til nettbanken 1. Er eierskap og ansvar for nettbankløsningen avklart? 2. Har banken sikret at kunden blir informert om hvordan nettbanktjenesten virker og skal brukes? 3. Har foretaket dokumentert data- og funksjonsmodell og teknisk arkitektur for nettbankløsningen? 4. Foreligger det driftsdokumentasjon for nettbankløsningen og er det etablert prosedyrer for oppdatering av denne? 5. Foreligger det systemdokumentasjon for nettbankløsningen og er det etablert prosedyrer for oppdatering av denne? 6. Lages det revisjonsspor som gjør det mulig å følge en transaksjon fra nettbanken gjennom prosesseringen? 7. Er det etablert kontroller som sikrer tilgang til kritisk kompetanse i forhold til IT-løsningene for nettbanken? 8. Er det gjennomført en vurdering av nettbankløsningen som sikrer etterlevelse av lover, forskrifter, andre avtaler eller interne retningslinjer? 4 Finanstilsynet

Nettbank 3 Sikkerhet 1. Har foretaket fastsatt kriterier for akseptabel risiko forbundet med bruk av nettbankløsningen? 2. Er det utarbeidet beskrivelser og gjort vurderinger av sikkerhetsmekanismene som benyttes til å autentisere kunden? 3. Er det etablert sikkerhetsmekanismer for å autorisere kunden for tjenester i nettbankløsningen? 4. Er det utarbeidet prosedyrer for håndtering og administrasjon av sertifikater og krypteringsnøkler? 5. Blir det utført årlig risikovurdering av nettbankløsningen? 6. Blir kompetansen på nettbankløsninger oppdatert gjennom systematiske vurderinger av resultater fra internasjonale samarbeidsfora og ny teknologi? 7. Er det planlagt eller igangsatt utvikling av mobile løsninger for nettbank? 8. Hvis det er igangsatt utvikling av mobile løsninger for nettbank, er det utført sikkerhetsvurderinger av disse? 5 Finanstilsynet

Nettbank 4 Endringshåndtering og installasjon 1. Blir alle forespørsler om endringer i nettbankløsningen dokumentert og behandlet gjennom endringshåndteringsprosessen? 2. Sikrer rutinene for endringshåndtering at konsekvenser og risiko ved gjennomføring av en endring blir identifisert og vurdert før endringen blir godkjent/avvist? 3. Blir det foretatt tester av løsningen før den settes i produksjon for å sikre at definerte krav til servicenivå blir opprettholdt etter at endringen er gjennomført? 4. Blir plan for gjenoppretting utarbeidet og testet før omlegging til drift? 5. Godkjennes produksjonssetting av endringer av den som er ansvarlig for nettbankløsningen? 6. Er det etablert rutiner som sikrer at kunden blir informert om hvordan endringen påvirker tjenesten? 7. Blir plan for katastrofeberedskap oppdatert ved endring? 8. Blir endringer vurdert i forhold til meldeplikten for system for betalingstjenester ref. Kredittilsynets rundskriv 17/2004 av 30.november 2004? http://www.kredittilsynet.no/wbch3.exe?ce=13764 6 Finanstilsynet

Nettbank 5 Kontinuitets- og katastrofehåndtering 1. Foreligger det en kontinuitetsplan og er det etablert en prosess for oppdatering av denne? 2. Er kontinuitetsplanen samordnet med leverandørens kontinuitetsplan på området? 3. Gjennomføres det testing og trening i kontinuitetsplanen? 4. Er kontinuitet av nettbankløsningen sikret hvis ekstern IT-leverandør får problemer på grunn av egne driftsmessige, økonomiske eller juridiske -forhold? 5. Foreligger det en katastrofeplan og er det etablert en prosess for oppdatering av denne? 6. Er det utarbeidet kriterier for aktivering av katastrofeplanen? 7. Er katastrofeplanen samordnet med leverandørens katastrofeplan på området? 8. Gjennomføres det testing og trening i katastrofeplanen? 7 Finanstilsynet

Avviks- og hendelseshåndtering Nettbank 6 1. Er det prosedyrer som sikrer at problemer og hendelser som oppstår i den daglige driften av nettbankløsningen, registreres, analyseres og løses til avtalt tid? 2. Er det utarbeidet prosedyrer for håndtering av forsøk på identitetstyveri mot nettbanken som for eksempel phishing, som omfatter informasjon til kundene og stenging av nettstedet? 3. Er det utarbeidet prosedyrer for håndtering av DDoS (Distributed Denial of Service) angrep mot nettbanken som beskriver hva som skal gjøres, for eksempel informasjon til kundene, gjenoppretting, eskalering, rapportering, oppfølging? 4. Gjennomføres det løpende vurderinger av alle hendelser som et ledd i forbedringsarbeidet? 8 Finanstilsynet

Nettbank 7 Overvåkning 1. Gjennomføres det uavhengig vurderinger av nettbankløsningens leveranseevne og servicegrad for å bekrefte at avtalte kvalitetskrav holdes? 2. Gjøres det vurderinger av brukertilfredshet, med hensyn på den service som blir levert? 3. Er det en prosess for løpende overvåking av leveranser fra ekstern IT-leverandør for å sikre at disse skjer i henhold til avtalen? 9 Finanstilsynet

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding