Blogi

Finanssivalvonta ja määräykset IT-asioissa

Kirjoittanut Panu Palmu 15.1.2020 9:54

Sijoituspalvelu-, varainhoito-, rahastoyhtiöt toimivat Finanssivalvonnan toimiluvan varaisesti. Toimiluvan saamiseksi ja ylläpitämiseksi, yhtiön tulee toimia Fiva:n määräysten mukaisesti.

Tässä blogissa kerron esimerkkejä IT-asioita koskevista määräyksistä ja niiden toteutustavoista. Käyn läpi hallituksen ja johtoryhmän vastuita ja velvoitteita. Kerron myös, mitä asioita yrityksellä tulee olla laadittuna kirjallisesti sekä tyypillisestä toimintamallista.

risk2

 

Hallituksen ja johtoryhmän vastuut ja velvoitteet

Finanssivalvonta on selkeästi artikuloinut hallituksen ja johtoryhmän tai toimitusjohtajan vastuut. Hallituksen vastuu on enemmän hyväksyvä ja johdon taas operatiivisempi.

Johdon tulee mm.:

  • Arvioida ja kehittää tietojärjestelmien tietoturvaa
  • Kehittää tapoja, joilla yritys suojautuu häiriöiltä ja ulkopuolisilta uhilta
  • Järjestää yritykselle jatkuvuussuunnitelmia eri tilanteiden varalta

Johdon tulee siis huolehtia yrityksen IT-asioista sekä käytännönläheisesti että määräystenmukaisuuden näkökulmasta.

Mitä yrityksen tulee laatia kirjallisesti

Yrityksen tulee luoda muunmuassa alla lueteltuja asioita kirjallisesti. Näihin teemoihin liittyviä dokumentteja, toimintamalleja ja käytännön ratkaisuja tulee tarkastella aika-ajoin ja päivittää tarpeen mukaan. Fivan dokumentaatiossa "aika-ajoin" ja "säännöllisin väliajoin" tarkoittaa alle vuodesta yli kolmeen vuoteen aiheesta riippuen.

  • Tietotekniikkastrategia
  • Jatkuvuussuunnitelma
  • Tietosuojapolitiikka
  • Tietoturvapolitiikka ja –strategia
  • Luokittelumääritykset
  • Dokumentaatio järjestelmistä ja käytettävistä palveluista
  • GDPR:n liittyvät dokumentaatiot henkilötietojen käsittelystä

Tiesitkö että...

"Tietojärjestelmissä käsiteltävät tapahtumat tulee voida jäljittää aukottomasti"

Tämä tarkoittaa sitä, että yrityksellä ei saa olla yhtään järjestelmää, jonka tapahtumista (luku, kirjoitus, kopiointi, kirjautuminen) ei saada 100-prosenttisella varmuudella tieto lokeista. Haasteena määräystenmukaisuudelle on yleensä hallintaoikeuksilla toimivat käyttäjät ja ohjelmistokehittäjät.

Tyypillinen toimintamalli finanssivalvonnan määräysten toteuttamiseksi

Edellä mainittujen asioiden toteutus tapahtuu tyypillisesti seuraavasti:

  • Keskustelu, kartoitus ja arviointi (esim. johtoryhmä + konsultti)
  • Pöytäkirjan, suunnitelman ja/tai politiikan laatiminen kirjallisesti
  • Mahdollisten toimenpiteiden toteuttaminen ja viestiminen
  • Aika-ajoin asian tarkastelu ja lisätoimenpiteiden tekeminen

Fiva Compliance

Yrityksen tulee siis pysähtyä miettimään monia asioita ja laatia niistä jotain konkreettista. Finanssivalvonnan määräykset ja suositukset saattavat tuntua vaativilta, mutta ainakin IT:n osalta ne ovat suurimmalta osalta hyvien käytäntöjen mukaisia ja itse suosittelen vastaavia toimenpiteitä kaikille organisaatioille, resurssien ja toteuttamismahdollisuuksien mukaan.

Mikä on luokitusjärjestelmä?

Yrityksellä tulee olla luokitusjärjestelmä. Tämä tarkoittaa eri asioiden ja kohteiden luokittelemistä valtuuksien ja tiedon arkuuden suhteen.

Yrityksen tulisi luokitella mm.

  • Tieto
  • Ihmiset
  • Ulkoiset tekijät
  • Järjestelmät

Henkilökunta vuodaan esimerkiksi luokitellaan vaikkapa johtoryhmään, toimihenkilöihin ja työharjoittelijoihin. Ensimmäinen ryhmä pääsee arkaluontoisempaan tietoon käsiksi kuin seuraavat. Tiedon arkaluonteisuus ja tietojärjestelmät tulee myös luokitella. Näin voidaan määritellä, että esimerkiksi henkilötietoja ei saa lähettää perinteisesti sähköpostilla vaan tieto tulee salata. Firman pikkujoulujen aikataulun voi taas lähettää miten parhaaksi näkee.

 

Me Etevällä autamme Finanssivalvonnan alaisia yrityksiä olemaan määräyksien mukainen ja huolehtimaan käytännön asioista.

Lue lisää toimialasivulta: IT-palvelut sijoituspalvelu-, varainhoito- ja rahastoyhtiöille

 

Topics: tietoturva, tietosuoja, Fiva, määräykset, finanssivalvonta, compliance


Tilaa uusimmat blogitekstit suoraan sähköpostiisi