Finanssivalvonta ja määräykset IT-asioissa

Sijoituspalvelu-, varainhoito-, rahastoyhtiöt toimivat Finanssivalvonnan toimiluvan varaisesti. Toimiluvan saamiseksi ja ylläpitämiseksi, yhtiön tulee toimia Fiva:n määräysten mukaisesti.

Tässä blogissa kerron esimerkkejä IT-asioita koskevista määräyksistä ja niiden toteutustavoista. Käyn läpi hallituksen ja johtoryhmän vastuita ja velvoitteita. Kerron myös, mitä dokumentteja yrityksellä tulee olla laadittuna kirjallisesti sekä tyypillisestä toimintamallista.

Hallituksen ja johtoryhmän vastuut ja velvoitteet

Finanssivalvonta on selkeästi artikuloinut hallituksen ja johtoryhmän sekä toimitusjohtajan vastuut. Hallituksen vastuu on enemmän hyväksyvä ja johdon taas operatiivisempi. Johdon tulee mm.

- - - Arvioida ja kehittää tietojärjestelmien tietoturvaa
    - Kehittää tapoja, joilla yritys suojautuu häiriöiltä ja ulkopuolisilta uhilta
    - Järjestää yritykselle jatkuvuussuunnitelmia eri tilanteiden varalta

Johdon tulee siis huolehtia yrityksen IT-asioista sekä käytännönläheisesti, että määräystenmukaisuuden näkökulmasta.

Mitä yrityksen tulee laatia kirjallisesti

Yrityksen tulee luoda muunmuassa alla lueteltuja asioita kirjallisesti. Näihin teemoihin liittyviä dokumentteja, toimintamalleja ja käytännön ratkaisuja tulee tarkastella aika-ajoin ja päivittää tarpeen mukaan. Fivan dokumentaatiossa "aika-ajoin" ja "säännöllisin väliajoin" tarkoittaa alle vuodesta yli kolmeen vuoteen aiheesta riippuen.

- - Tietotekniikkastrategia
  - Jatkuvuussuunnitelma
  - Tietosuojapolitiikka
  - Tietoturvapolitiikka ja –strategia
  - Luokittelumääritykset
  - Dokumentaatio järjestelmistä ja käytettävistä palveluista
  - GDPR:n liittyvät dokumentaatiot henkilötietojen käsittelystä

Tietojärjestelmissä käsiteltävät tapahtumat tulee voida jäljittää aukottomasti

Tämä tarkoittaa sitä, että yrityksellä ei saa olla yhtään järjestelmää, jonka tapahtumista (luku, kirjoitus, kopiointi, kirjautuminen) ei saada 100-prosenttisella varmuudella tietoa lokeista. Haasteena määräystenmukaisuudelle on yleensä hallintaoikeuksilla toimivat käyttäjät ja ohjelmistokehittäjät.

Tyypillinen toimintamalli Finanssivalvonnan määräysten toteuttamiseksi

Edellä mainittujen asioiden toteutus tapahtuu tyypillisesti seuraavasti:

- - Keskustelu, kartoitus ja arviointi (esim. johtoryhmä + konsultti)
  - Pöytäkirjan, suunnitelman ja/tai politiikan laatiminen kirjallisesti
  - Mahdollisten toimenpiteiden toteuttaminen ja viestiminen
  - Aika-ajoin asian tarkastelu ja lisätoimenpiteiden tekeminen

Yrityksen tulee siis pysähtyä miettimään monia asioita ja laatia niistä jotain konkreettista. Finanssivalvonnan määräykset ja suositukset saattavat tuntua vaativilta, mutta ainakin IT:n osalta ne ovat suurimmalta osalta hyvien käytäntöjen mukaisia ja itse suosittelen vastaavia toimenpiteitä kaikille organisaatioille, resurssien ja toteuttamismahdollisuuksien mukaan.

Mikä on luokitusjärjestelmä?

Yrityksellä tulee olla luokitusjärjestelmä. Tämä tarkoittaa eri asioiden ja kohteiden luokittelemista valtuuksien ja tiedon arkuuden suhteen. Yrityksen tulisi luokitella mm.

- - Tieto
  - Ihmiset
  - Ulkoiset tekijät
  - Järjestelmät

Henkilökunta voidaan esimerkiksi luokitellaan vaikkapa johtoryhmään, toimihenkilöihin ja työharjoittelijoihin. Ensimmäinen ryhmä pääsee arkaluontoisempaan tietoon käsiksi kuin seuraavat. Tiedon arkaluonteisuus ja tietojärjestelmät tulee myös luokitella. Näin voidaan määritellä, että esimerkiksi henkilötietoja ei saa lähettää perinteisesti sähköpostilla vaan tieto tulee salata. Firman pikkujoulujen aikataulun voi taas lähettää miten parhaaksi näkee.

Lue lisää toimialasivultamme: IT-palvelut sijoituspalvelu-, varainhoito- ja rahastoyhtiöille.