Leiðbeinandi tilmæli
| Málsnúmer | 2/2014 |
|---|---|
| Heiti | Leiðbeinandi tilmæli um upplýsingakerfi eftirlitsskyldra aðila - [Ekki í gildi] |
| Dagsetning | 21/3/2014 |
| Starfsemi |
|
| Reifun |
Fjármálaeftirlitið setur leiðbeinandi tilmæli um upplýsingakerfi eftirlitsskyldra aðila. Með leiðbeinandi tilmælum þessum er stefnt að því að samræmdar kröfur verði gerðar til allra eftirlitsskyldra aðila varðandi rekstur upplýsingakerfa og notkun upplýsingatækni. Megintilgangur tilmælanna er að lágmarka rekstraráhættu eftirlitsskyldra aðila og stuðla að eftirfylgni eftirlitsskyldra aðila við lög og reglur er lúta að rekstri upplýsingakerfa. Tekið skal fram að tilmælum þessum er á engan hátt ætlað að koma í stað ákvæða laga og reglugerða er lúta að vernd persónuupplýsinga.
Lágmörkun áhættu við rekstur upplýsingakerfa er m.a. fólgin í því að gera ráðstafanir sem miða að því að stýra rekstraráhættu, koma í veg fyrir hagsmunaárekstra og tryggja gagnsæi á markaði. Einnig ber að tryggja öryggi upplýsinga, þ.e. að tryggja aðgengi aðeins þeirra sem hafa til þess heimild, þegar þeir þurfa slíkt aðgengi og að upplýsingarnar séu réttar og óspilltar.
Umfang aðgerða til að tryggja öryggi upplýsingakerfa á að vera í samræmi við umfang rekstur eftirlitsskylds aðila og þá áhættu sem honum fylgir. Tilmælin gilda um alla eftirlitsskylda aðila. Hins vegar gerir Fjármálaeftirlitið ríkari kröfur um eftirfylgni til eftirlitsskyldra aðila með umsvifamikla og fjölþætta starfsemi en minni aðila með einfalda starfsemi, sbr. nánar í gr. 1.5 tilmælanna. Því er gert ráð fyrir að smærri aðilum dugi einfalt utanumhald, þó þeim beri að hafa þau sjónarmið að leiðarljósi sem fram koma í tilmælunum.
Samkvæmt 1. mgr. 8. gr. laga nr. 87/1998 um opinbert eftirlit með fjármálastarfsemi ber eftirlitsskyldum aðilum að haga starfsemi sinni í samræmi við heilbrigða og eðlilega viðskiptahætti. Jafnframt má af 2. mgr. 10. gr. laganna leiða skyldu sömu aðila til þess að halda hag og rekstri sínum heilbrigðum. Fjármálaeftirlitið telur að í framangreindu felist m.a. að eftirlitsskyldir aðilar framkvæmi sjálfsmat á upplýsingatækniumhverfi sínu, sem er mat á umfangi rekstrar og flækjustigi viðskiptakerfa. Á grundvelli 2. málsl. 1. mgr. 9. gr. laga um opinbert eftirlit með fjármálastarfsemi fer Fjármálaeftirlitið fram á að sjálfsmatið sé sent eftirlitinu í gegnum gagnaskilakerfi eftirlitsins. Hafi aðili einu sinni skilað sjálfsmati þarf ekki að skila nýju slíku mati nema breytingar á þeim þáttum sem greindir eru í sjálfsmati eigi sér stað. Alþjóðlegir staðlar gilda á þessu sviði og einnig er töluvert til af leiðbeiningum um rekstur upplýsingakerfa. Má þar nefna ISO/IEC 27001-27005, ISO 9000 gæðastaðalinn og CobiT. Í mörgum öðrum Evrópuríkjum hafa verið sett fram sambærileg tilmæli eða reglur og er tekið mið af þeim í tilmælum þessum |
| Skjöl | LT-2_2014_Ekki-i-gildi.pdf |