Tilbage til artiklen: Børsfolk skal stå skoleret efter massivt it-nedbrud.
Varsel om IT-tilsyn etter nedetid av handelssystem ved Oslo Børs
Kredittilsynet vil gjennomføre IT-tilsyn hos Oslo Børs ASA (OBA), etter hendelser som har resultert i nedetid av handelssystemet SAXESS 2. og 3. juni 2008. Møter avtales etter behov. Etter avsluttet inspeksjon vil Kredittilsynet oversende tilsynsrapport til OBAs styre.
I tillegg til varslet IT-tilsyn ber Kredittilsynet om å få oversendt en foreløpig rapport som nærmere redegjør for problemet og hvilke tiltak OBA har etablert, og planlegger å etablere, for å sikre at tilsvarende hendelser ikke oppstår igjen. Denne rapporten bes oversendt Kredittilsynet innen mandag 9. juni 2008.
Ansvaret for forsvarlig drift av og kontroll med foretakets IT-løsninger ligger i sin helhet i OBA, også der hele eller deler av IKT-virksomheten er utkontraktert. Dette ansvaret omfatter også organiseringen av virksomheten. Bruk av ekstern IT-leverandør er uten innvirkning på OBAs plikter og ansvar overfor kunder eller offentlig myndighet. Det skal foreligge en skriftlig avtale som sikrer dette.
Kredittilsynet er kjent med at OBA har utkontraktert leveransen av it-tjenester som innbefatter SAXESS. Kredittilsynet ber OBA varsle leverandør av SAXESS om det varslede IT-tilsynet og videreformidle forespørselen om dokumentasjon som er spesifisert under.
Kredittilsynet henvender seg i denne rapporten til styret i OBA. Det er OBAs ansvar å påse at de tjenester OBA leverer utføres iht. avtaler og pålegg fra offentlig myndighet.
Kredittilsynet vurderer OBA til å ha avgjørende rolle i det norske verdipapirmarkedet og Kredittilsynet vil derfor legge vekt på de prosesser som Kredittilsynet anser som nødvendig, for å kunne sikre tilstrekkelig IT-leveranser. Kredittilsynet ønsker derfor å gå nærmere gjennom hvordan endringshåndteringsprosessen gjennomføres.
Gjennomgangen vil i hovedsak ta utgangspunkt i hvordan endringshåndteringsprosessen ble ivaretatt under implementeringen av endringer som forårsaket nedetid av OBAs handelssystem SAXESS 2. og 3. juni 2008.
Kredittilsynet ber om å få tilsendt følgende før inspeksjonen:
1. Gjeldende prosedyrer for endringshåndtering for produksjonsmiljøet til SAXESS
2. Siste internkontrollrapport hos tjenesteleverandør som omhandler endringshåndtering
3. Gjennomførte risikoanalyser som omhandler endringshåndtering
4. Dokumentasjon av hvordan endringer av SAXESS ble testet og godkjent og hvordan dette ble dokumentert slik at prosjektleder og change manager kunne ta beslutninger på tilstrekkelig og rett grunnlag
5. Dokumentasjon av det totale beslutningsgrunnlag for gjennomføring av endring som forårsaket nedetid av SAXESS
6. Dokumentasjon fra endringsmøtene som har godkjent at endringer av SAXESS ble satt i drift og hvordan dette er dokumentert av beslutningstaker.
7. Kredittilsynet ber om dokumenterte rutiner som foreligger for roll-back etter endringer som medfører alvorlige feil
8. Kredittilsynet ber om dokumenterte rutiner som foreligger for etablering av reserveløsninger for å opprettholde kontinuerlig drift av SAXESS
9. Kredittilsynet ber om dokumentasjon som viser at rutiner omtalt i pkt. 8 ble fulgt
10. Kredittilsynet ber om dokumenterte rutiner som foreligger for etablering av katastrofeløsning for SAXESS
11. Kredittilsynet ber om dokumentasjon som viser at rutiner omtalt i pkt. 10 ble fulgt
12. Dokumentasjon som viser hvilke tiltak tjenesteleverandør av SAXESS har iverksatt med bakgrunn i gjennomføring av endringer for å sikre at gjentagelse ikke skjer.
Annen dokumentasjon kan om nødvendig bli bedt fremlagt under våre møter.
Vi ber om å få tilsendt dokumentasjonen i to eksemplar innen 20. juni 2008. Dersom noe skulle være uklart ber vi om at det tas kontakt med spesialrådgiver Stig Ulstein.
IT-inspeksjonen blir gjennomført av seksjonssjef Frank Robert Berg, spesialrådgiver Stig Ulstein og spesialrådgiver Knut Godager.
Kopi av dette brevet bes sendt til kontrollkomiteens leder og valgt revisor.
For Kredittilsynet
Frank Robert Berg
seksjonssjef
Stig Ulstein
spesialrådgiver
Tilbage til artiklen: Børsfolk skal stå skoleret efter massivt it-nedbrud.
