BAKER TILLY POLAND CONSULTING

Podobne dokumenty
BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Komisja Nadzoru Finansowego. Wytyczne

Warszawa, dnia 16 września 2015 r. Poz. 51. UCHWAŁA Nr 410/2014 KOMISJI NADZORU FINANSOWEGO. z dnia 16 grudnia 2014 r.

Komisja Nadzoru Finansowego. Wytyczne

Warszawa, dnia 16 kwietnia 2015 r. Poz. 10. UCHWAŁA Nr 413/2014 KOMISJI NADZORU FINANSOWEGO. z dnia 16 grudnia 2014 r.

Komisja Nadzoru Finansowego. Wytyczne

Warszawa, dnia 16 kwietnia 2015 r. Poz. 8

Komisja Nadzoru Finansowego. Wytyczne

Warszawa, dnia 16 kwietnia 2015 r. Poz. 9. UCHWAŁA Nr 412/2014 KOMISJI NADZORU FINANSOWEGO. z dnia 16 grudnia 2014 r.

Warszawa, dnia 16 kwietnia 2015 r. Poz. 8. UCHWAŁA Nr 411/2014 KOMISJI NADZORU FINANSOWEGO. z dnia 16 grudnia 2014 r.

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

Komisja Nadzoru Finansowego. Rekomendacja D

Komisja Nadzoru Finansowego. Rekomendacja D-SKOK

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

Warszawa, dnia 16 września 2015 r. Poz. 50. UCHWAŁA Nr 409/2014 KOMISJI NADZORU FINANSOWEGO. z dnia 16 grudnia 2014 r.

Zasady systemu kontroli wewnętrznej w Banku Polskiej Spółdzielczości S.A.

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Polityka Ładu Korporacyjnego Banku Spółdzielczego w Legnicy. BANK SPÓŁDZIELCZY w LEGNICY. Załącznik nr 1 do Uchwały Nr 380/2014

Polityka zarządzania ładem korporacyjnym w Nadwiślańskim Banku Spółdzielczym w Puławach

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Suchedniowie

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A.

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE

Polityka zarządzania zgodnością w Banku Spółdzielczym w Łaszczowie

ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W PONIATOWEJ

Rozdział 1 Postanowienia ogólne

Informacja Banku Spółdzielczego w Chojnowie

Polityka Ładu Korporacyjnego Banku Spółdzielczego w Legnicy. BANK SPÓŁDZIELCZY w LEGNICY. Załącznik nr 1 do Uchwały Nr 249/2017

Polityka Zarządzania Ładem Korporacyjnym. w Banku Spółdzielczym w Kolbuszowej

Opis systemu kontroli wewnętrznej Banku Spółdzielczego w Połańcu. 1. Cele i organizacja systemu kontroli wewnętrznej

POLITYKA BANKU SPÓŁDZIELCZEGO W ŻORACH W ZAKRESIE WDROŻENIA ZASAD ŁADU KORPORACYJNEGO

Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Szczucinie

Bank Spółdzielczy w Augustowie. Zasady Ładu Korporacyjnego dla instytucji nadzorowanych

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W MIEDŹNEJ

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Siemiatyczach

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Gorlicach

Przedszkole Nr 30 - Śródmieście

Polityka zarządzania ładem korporacyjnym

Załącznik do Uchwały Nr 45/2014. Rady Nadzorczej Pienińskiego Banku Spółdzielczego. z dnia r. Załącznik do Uchwały Nr 8/12/2014

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU. (Zawarta w planie ekonomiczno-finansowym

Polityka zarządzania ładem korporacyjnym w Spółdzielczej Kasie Oszczędnościowo- Kredytowej Świdnik

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

System kontroli wewnętrznej w Limes Banku Spółdzielczym

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

BA K SPÓŁDZIELCZY BYTOM

System Kontroli Wewnętrznej w Banku Spółdzielczym w Andrespolu ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPOŁDZIELCZYM W ANDRESPOLU

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

Bank Spółdzielczy w Augustowie. Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Augustowie

Doradztwo transakcyjne

Polityka przestrzegania Zasad ładu korporacyjnego. w Banku Spółdzielczym w Szczuczynie

POLITYKA ZARZĄDZANIA ŁADEM KORPORACYJNYM

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Leżajsku

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Jordanowie

POLITYKA zarządzania ładem korporacyjnym w Banku Spółdzielczym w Józefowie nad Wisłą

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Iłży

Polityka zarządzania ładem korporacyjnym w Bieszczadzkim Banku Spółdzielczym w Ustrzykach Dolnych

System kontroli wewnętrznej w Banku Spółdzielczym w Jordanowie

System Kontroli Wewnętrznej w Banku Spółdzielczym w Mińsku Mazowieckim

Polityka zarządzania ryzykiem braku zgodności. w Banku Spółdzielczym w Głowaczowie

Polityka ładu korporacyjnego w Banku Spółdzielczym Grodków-Łosiów z siedzibą w Grodkowie

REKOMENDACJA D Rok PO Rok PRZED

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Ciechanowcu

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Zasady ładu korporacyjnego w Banku Spółdzielczym w Sierpcu

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Iłowej

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

System kontroli wewnętrznej

Bank Spółdzielczy w Kołaczycach ul. Rynek 2, Kołaczyce tel , fax Centrala-BS.Kolaczyce@bankbps.

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W MAŁOPOLSKIM BANKU SPÓŁDZIELCZYM. I. Cele i organizacja systemu kontroli wewnętrznej

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

SKZ System Kontroli Zarządczej

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBAWIE

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Kocku

Bezpieczeństwo dziś i jutro Security InsideOut

Pakiet zawiera. Pakiet Interoperacyjny Urząd. E-learning. Asysta merytoryczna. Oprogramowanie. Audyt. Certyfikacja.

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA

Organizacja i funkcjonowanie Systemu Kontroli Wewnętrznej w HSBC Bank Polska S.A.

Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Leżajsku.

Standardy kontroli zarządczej

Opis Kompetencji Portfel Interim Menedżerowie i Eksperci

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

System kontroli wewnętrznej w Banku Millennium S.A.

Ocena stosowania w Banku Spółdzielczym w Suchej Beskidzkiej Zasad ładu korporacyjnego dla instytucji nadzorowanych za 2015 rok

POLITYKA W ZAKRESIE STOSOWANIA ZASAD ŁADU KORPORACYJNEGO DLA INSTYTUCJI NADZOROWANYCH W KURPIOWSKIM BANKU SPÓŁDZIELCZYM W MYSZYŃCU

Informacja Banku Spółdzielczego w Chojnowie

Transkrypt:

BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International

Objaśnienie wytycznych Wytyczne KNF dla fim ubezpieczeniowych i towarzystw reasekuracyjnych zakłada zmiany i uwarunkowania dla działów i systemów IT w firmach z branży ubezpieczeniowej. Poniżej prezentujemy te z nich, które mogą stanowić największy problem we wdrożeniu i utrzymaniu. Pokrótce opisujemy, co dokładnie jest wymagane od firmy ubezpieczeniowej. 1. Rozwiązania organizacyjne oraz zasoby ludzkie w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego ubezpieczyciela powinny być adekwatne do jego profilu ryzyka i specyfiki działalności oraz pozwalać na efektywną realizację działań w tych obszarach Ubezpieczyciel powinien zapewnić, aby struktura organizacyjna w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego pozwalała na efektywną realizację celów w tych obszarach, odpowiednio do skali i profilu działalności oraz stopnia złożoności środowiska teleinformatycznego. Adekwatność tej struktury powinna być systematycznie weryfikowana i w przypadku wystąpienia takiej potrzeby dostosowywana do zmian w środowisku wewnętrznym i jego otoczeniu. Ubezpieczyciel powinien precyzyjnie zdefiniować obowiązki i uprawnienia poszczególnych pracowników w zakresie technologii informacyjnej i bezpieczeństwa informacji. Określenie zakresów obowiązków i uprawnień powinno mieć formę pisemną, a podział obowiązków powinien minimalizować ryzyko błędów i nadużyć w procesach i systemach. W tym celu należy zwrócić uwagę na odpowiednią separację obowiązków pracowników. Ubezpieczyciel powinien zapewnić, aby zarówno liczebność, jak i poziom wiedzy i kwalifikacji pracowników obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego pozwalały na bezpieczną i poprawną eksploatację całości środowiska teleinformatycznego. 2. Ubezpieczyciel powinien posiadać sformalizowane zasady prowadzenia projektów w zakresie środowiska teleinformatycznego, adekwatne do skali i specyfiki realizowanych projektów luty 2015 Zasady prowadzenia projektów w zakresie środowiska teleinformatycznego powinny w szczególności: definiować projekt określać sposób wskazywania interesariuszy projektu określać sposób doboru uczestników projektu i wskazywać ich role, uprawnienia i odpowiedzialność uwzględniać sposób dokumentowania realizacji projektu określać zasady zarządzania ryzykiem w projekcie określać zasady zarządzania zmianą w projekcie określać zasady oraz role i odpowiedzialności w zakresie odbioru i wprowadzania do eksploatacji produktów prac projektu określać zasady podejmowania decyzji o zaniechaniu realizacji projektu

3. Systemy informatyczne ubezpieczyciela powinny być rozwijane w sposób zapewniający wsparcie jego działalności oraz uwzględniający wymogi bezpieczeństwa środowiska teleinformatycznego Ubezpieczyciel powinien uwzględnić możliwość wprowadzania w przyszłości jego modyfikacji, wynikających w szczególności ze zmian w przepisach prawa, strategii działania lub obowiązujących w nim standardach. Oznacza to, że rozwijając systemy informatyczne ubezpieczyciel powinien zidentyfikować możliwe do przewidzenia zmiany w uwarunkowaniach wewnętrznych i zewnętrznych i rozważyć zasadność zapewnienia elastyczności danego systemu w odpowiednim zakresie, umożliwiającej w przyszłości efektywne wprowadzanie niezbędnych zmian. Wprowadzenie nowego systemu informatycznego, jak również znacznej zmiany do już istniejącego systemu, powinno być poprzedzone przeprowadzeniem analizy ryzyka wynikającego z zastosowanych technologii informatycznych oraz dokonaniem oceny wpływu wprowadzanych zmian na środowisko teleinformatyczne i procesy biznesowe ubezpieczyciela, ze szczególnym uwzględnieniem aspektów bezpieczeństwa. 4. Ubezpieczyciel powinien posiadać sformalizowane zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych i poprawność działania środowiska teleinformatycznego, uwzględniające również usługi świadczone przez podmioty należące do grupy kapitałowej ubezpieczyciela Uwzględniając specyfikę działalności sektora ubezpieczeniowego, spośród usług świadczonych przez podmioty zewnętrzne, czynności realizowane w obszarze technologii informacyjnej mają szczególny charakter ze względu na ich bezpośredni wpływ, na jakość i bezpieczeństwo usług świadczonych na rzecz klientów oraz reputację ubezpieczyciela. Jednocześnie, w zależności od specyficznych uwarunkowań ubezpieczyciela, wpływ jakości współpracy z podmiotami zewnętrznymi na jakość usług świadczonych przez ubezpieczyciela na rzecz klientów wykazuje duże zróżnicowanie. W związku z tym, proces zarządzania relacjami z usługodawcami zewnętrznymi powinien być dostosowany do tych uwarunkowań. Umowy zawierane przez ubezpieczyciela z zewnętrznymi dostawcami usług, powinny zapewniać, że świadczenie usług odbywać się będzie zgodnie z wymaganiami prawnymi, regulacjami wewnętrznymi i zewnętrznymi oraz przyjętymi w firmie ubezpieczeniowej standardami. Wzory umów lub umowy zawierane przez ubezpieczyciela z zewnętrznymi dostawcami usług powinny być weryfikowane w odpowiednim zakresie przez jednostki ubezpieczyciela odpowiedzialne za obszar prawny oraz obszar bezpieczeństwa środowiska teleinformatycznego.

BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych 5. System wraz z procedurą zarządzania ciągłością działania ubezpieczyciela powinien uwzględniać szczególne uwarunkowania, związane z jego środowiskiem teleinformatycznym oraz przetwarzanymi w nim danymi W związku z tym, że odtworzenie działania środowiska teleinformatycznego jest zwykle niezbędne dla wznowienia funkcjonowania procesów biznesowych, ubezpieczyciel powinien poświęcić szczególną uwagę zarządzaniu ciągłością działania w zakresie jednostek odpowiedzialnych za funkcjonowanie tego środowiska. Ubezpieczyciel powinien regularnie weryfikować efektywność przyjętego podejścia do zarządzania ciągłością działania w zakresie środowiska teleinformatycznego, w tym w zakresie zdolności do odtworzenia działalności w oparciu o środowisko zapasowe. Częstotliwość, zakres oraz sposób przeprowadzania testów (taki jak np. symulacje, całościowe testy operacyjne itp.) powinny uwzględniać skalę i specyfikę działalności oraz zagrożenia związane z poszczególnymi komponentami środowiska teleinformatycznego. Plany testów, zwłaszcza w przypadku, kiedy mogą mieć one wpływ na bieżącą działalność ubezpieczyciela, powinny być konsultowane w organizacji i zatwierdzane przez zarząd firmy ubezpieczeniowej. Wyniki testów oraz plany działań naprawczych, które należy podjąć w celu usunięcia zidentyfikowanych nieprawidłowości, powinny być dokumentowane. Rada nadzorcza i kierownictwo ubezpieczyciela powinno być informowane o wynikach testów oraz terminowości i skuteczności podejmowanych działań naprawczych. 6. U ubezpieczyciela powinien funkcjonować sformalizowany, skuteczny system zarządzania bezpieczeństwem środowiska teleinformatycznego, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka w tym zakresie, zintegrowany z całościowym systemem zarządzania ryzykiem i bezpieczeństwem informacji w firmie ubezpieczeniowej System zarządzania bezpieczeństwem środowiska teleinformatycznego powinien wynikać ze strategii w obszarze bezpieczeństwa środowiska teleinformatycznego i być oparty o sformalizowane regulacje wewnętrzne. Podstawowym dokumentem w tym zakresie powinna być polityka bezpieczeństwa informacji. Ubezpieczyciel powinien przeanalizować korzyści wynikające ze stosowania międzynarodowych standardów (lub ich polskich odpowiedników) w zakresie bezpieczeństwa informacji (takich jak np. normy z serii ISO/IEC 27000) oraz podjąć decyzję w zakresie ewentualnego dostosowania funkcjonującego u ubezpieczyciela systemu zarządzania bezpieczeństwem środowiska teleinformatycznego do ich wymagań.

Komisja Nadzoru Finansowego zdefiniowała wytyczne w obszarze bezpieczeństwa informatycznego dla branży ubezpieczeniowej. W obecnych czasach firmy muszą zadbać o bezpieczeństwo własnych systemów, sieci oraz rozwiązań, jakie oferują swoim odbiorcom. Doświadczeni eksperci Baker Tilly Poland Consulting wychodząc naprzeciw potrzebom teleinformatycznym firm, oferują wsparcie w audytach, implementacji oraz utrzymaniu wytycznych, jakie KNF przygotowało dla firm z branży ubezpieczeniowej. Zakres usług świadczonych przez BTPC w odniesieniu do wytycznych KNF dla firm ubezpieczeniowych obejmuje: Audyty w zakresie - Zerowej zgodności - Zgodności z rekomendacjami po audycie zerowym - Bezpieczeństwa informacji - Polityki bezpieczeństwa - Polityki ciągłości działania Wdrożenia ~ Polityki - Bezpieczeństwa IT - Bezpieczeństwa informacji - Ciągłości działania IT - Ciągłości działania firmy - Jakości danych ~ Norm i metodyki - ISO 27001 - ISO 9001 - ITIL ~ Rekomendacji poaudytowych ISO 9001:2008 www.bakertilly.pl Baker Tilly is a trademark of the UK firm Baker Tilly UK Group LLP, used under licence An independent member of Baker Tilly International

Baker Tilly Poland ConsulTing współpracuje z następującymi ParTnerami zaufali nam już Dzięki współpracy z tak wyspecjalizowaną grupą, jesteśmy w stanie zaoferować Państwu najwyższy poziom usług. CHĘTNIE ODPOWIEMY NA PAŃSTWA PYTANIA DOTYCZĄCE PRZEDSTAWIONEJ TEMATYKI. KONTAKT Z DZIAŁEM USŁUG IT W BAKER TILLY POLAND CONSULTING Agnieszka Frommholz IT Group Director M: +48 502 192 272 T: + 48 22 295 30 00 DL: +48 22 295 30 20 F: + 48 22 295 30 01 E: afrommholz@bakertilly.pl Dariusz Stefaniuk Project Manager M: +48 601 322 170 T: + 48 22 295 30 00 F: + 48 22 295 30 01 E: dstefaniuk@ca-staff.eu Przemysław Szulecki IT & Security Consultant M: +48 791 301 019 T: + 48 22 295 30 00 F: + 48 22 295 30 01 DL: + 48 22 295 30 21 E: pszulecki@bakertilly.pl www.bakertilly.pl Baker Tilly is a trademark of the UK firm Baker Tilly UK Group LLP, used under licence An independent member of Baker Tilly International