Veiledning for gjennomføring av risiko- og sårbarhetsanalyser av IKT-systemer i finanssektoren

Gjennomføring av risikoanalyser av IKT-systemer i finanssektoren er viktig for å kunne kjenne til foretakenes risikonivå og for å kunne iversette tiltak for å oppnå et akseptabelt risikonivå. Foretak i finanssektoren som er underlagt IKT-forskriften, er gjennom forskriftens § 3 Risiko pålagt å gjennomføre risikoanalyser av foretakenes bruk av IKT.

Risikoanalyse har i økende grad blitt et hjelpemiddel for foretakene for å avdekke sårbarheter i IKT-systemene og ved bruken av IKT. Hovedhensikten med risikoanalyser er først og fremst å bli klar over egen risikosituasjon, og basert på denne kunnskapen iverksette risikoreduserende tiltak eller på annen måte sikre en forsvarlig håndtering av egen risiko.

En risikoanalyse som beskrevet i dette dokumentet, vil utgjøre en viktig del av grunnlaget for måling innenfor områdene som Basel II dekker: ”Operational risk is defined as the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk”.

Denne veiledningen er ment å være en enkel momentliste over viktige deler som bør tas med når risikoanalyser gjennomføres.

Veiledning for gjennomføring av risiko- og sårbarhetsanalyser,
Ref. IKT-forskriften § 3 (datert 19.06.2008):

Veiledningen i pdf-versjon
Veiledningen i doc-versjon
[Red. anm. 17.07.2008: I avsnitt 2.2 er kulepunkt 2 og 5 rettet.]

Kontaktpersoner:
Seksjonssjef Frank Robert Berg, tlf. 22 93 98 47, e-post: frank.robert.berg@kredittilsynet.no
Seniorrådgiver Atle Dingsør, tlf. 22 93 99 51, e-post: atle.dingsor@kredittilsynet.no