Se brevet fra det norske Kredittilsynet

Tilbage til artiklen: Børsfolk skal stå skoleret efter massivt it-nedbrud.

Varsel om IT-tilsyn etter nedetid av handelssystem ved Oslo Børs

Kredittilsynet vil gjennomføre IT-tilsyn hos Oslo Børs ASA (OBA), etter hendelser som har resultert i nedetid av handelssystemet SAXESS 2. og 3. juni 2008. Møter avtales etter behov. Etter avsluttet inspeksjon vil Kredittilsynet oversende tilsynsrapport til OBAs styre.

I tillegg til varslet IT-tilsyn ber Kredittilsynet om å få oversendt en foreløpig rapport som nærmere redegjør for problemet og hvilke tiltak OBA har etablert, og planlegger å etablere, for å sikre at tilsvarende hendelser ikke oppstår igjen. Denne rapporten bes oversendt Kredittilsynet innen mandag 9. juni 2008.

Ansvaret for forsvarlig drift av og kontroll med foretakets IT-løsninger ligger i sin helhet i OBA, også der hele eller deler av IKT-virksomheten er utkontraktert. Dette ansvaret omfatter også organiseringen av virksomheten. Bruk av ekstern IT-leverandør er uten innvirkning på OBAs plikter og ansvar overfor kunder eller offentlig myndighet. Det skal foreligge en skriftlig avtale som sikrer dette.

Kredittilsynet er kjent med at OBA har utkontraktert leveransen av it-tjenester som innbefatter SAXESS.  Kredittilsynet ber OBA varsle leverandør av SAXESS om det varslede IT-tilsynet og videreformidle forespørselen om dokumentasjon som er spesifisert under.      

Kredittilsynet henvender seg i denne rapporten til styret i OBA. Det er OBAs ansvar å påse at de tjenester OBA leverer utføres iht. avtaler og pålegg fra offentlig myndighet.  

Kredittilsynet vurderer OBA til å ha avgjørende rolle i det norske verdipapirmarkedet og Kredittilsynet vil derfor legge vekt på de prosesser som Kredittilsynet anser som nødvendig, for å kunne sikre tilstrekkelig IT-leveranser. Kredittilsynet ønsker derfor å gå nærmere gjennom hvordan endringshåndteringsprosessen gjennomføres.

Gjennomgangen vil i hovedsak ta utgangspunkt i hvordan endringshåndteringsprosessen ble ivaretatt under implementeringen av endringer som forårsaket nedetid av OBAs handelssystem SAXESS 2. og 3. juni 2008.

Kredittilsynet ber om å få tilsendt følgende før inspeksjonen: 

1. Gjeldende prosedyrer for endringshåndtering for produksjonsmiljøet til SAXESS
2. Siste internkontrollrapport hos tjenesteleverandør som omhandler endringshåndtering
3. Gjennomførte risikoanalyser som omhandler endringshåndtering
4. Dokumentasjon av hvordan endringer av SAXESS ble testet og godkjent og hvordan dette ble dokumentert slik at prosjektleder og change manager kunne ta beslutninger på tilstrekkelig og rett grunnlag
5. Dokumentasjon av det totale beslutningsgrunnlag for gjennomføring av endring som forårsaket nedetid av SAXESS
6. Dokumentasjon fra endringsmøtene som har godkjent at endringer av SAXESS ble satt i drift og hvordan dette er dokumentert av beslutningstaker.
7. Kredittilsynet ber om dokumenterte rutiner som foreligger for roll-back etter endringer som medfører alvorlige feil
8. Kredittilsynet ber om dokumenterte rutiner som foreligger for etablering av reserveløsninger for å opprettholde kontinuerlig drift av SAXESS
9. Kredittilsynet ber om dokumentasjon som viser at rutiner omtalt i pkt. 8 ble fulgt
10. Kredittilsynet ber om dokumenterte rutiner som foreligger for etablering av katastrofeløsning for SAXESS
11. Kredittilsynet ber om dokumentasjon som viser at rutiner omtalt i pkt. 10 ble fulgt
12. Dokumentasjon som viser hvilke tiltak tjenesteleverandør av SAXESS har iverksatt med bakgrunn i gjennomføring av endringer for å sikre at gjentagelse ikke skjer.

Annen dokumentasjon kan om nødvendig bli bedt fremlagt under våre møter.

Vi ber om å få tilsendt dokumentasjonen i to eksemplar innen 20. juni 2008. Dersom noe skulle være uklart ber vi om at det tas kontakt med spesialrådgiver Stig Ulstein.

IT-inspeksjonen blir gjennomført av seksjonssjef Frank Robert Berg, spesialrådgiver Stig Ulstein og spesialrådgiver Knut Godager.

Kopi av dette brevet bes sendt til kontrollkomiteens leder og valgt revisor.

For Kredittilsynet

Frank Robert Berg
seksjonssjef
Stig Ulstein
                                                                                                spesialrådgiver

Tilbage til artiklen: Børsfolk skal stå skoleret efter massivt it-nedbrud.




IT-JOB
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere