NaviPartner København ApS CVR-nr.:

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "NaviPartner København ApS CVR-nr.: 21 38 21 91"

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og effektivitet i forbindelse med drift af Microsoft Dynamics NAV hosting-platform i perioden til ISAE 3402 Type 2 NaviPartner København ApS CVR-nr.: REVI-IT A/S REVI-IT A/S statsautoriseret revisionsaktieselskab Lyngbyvej København Ø Tlf Fax revi-it.dk CVR-nr

2 Indholdsfortegnelse Afsnit 1: NaviPartner København ApS ledelseserklæring... 1 Afsnit 2: Afsnit 3: NaviPartner København ApS beskrivelse af kontroller i forbindelse med drift af Microsoft Dynamics NAV hosting-platform... 2 Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og effektivitet Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf REVI-IT A/S

3 Afsnit 1: NaviPartner København ApS ledelseserklæring Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt NaviPartner København ApS drift af Microsoft Dynamics Nav hosting-platform, og disses revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. NaviPartner København ApS bekræfter, at: (a) (b) Den medfølgende beskrivelse, i afsnit 2, giver en retvisende beskrivelse af NaviPartner København ApS drift af Microsoft Dynamics Nav hosting-platform i hele perioden fra til Kriterierne for dette udsagn var, at den medfølgende beskrivelse: (i) (ii) (iii) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder relevante kontrolmål og kontroller, udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner. indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra til ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse vigtigt efter deres særlige forhold. de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra til Kriterierne for dette udsagn var, at: (i) (ii) (iii) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra til REVI-IT A/S Side 1 af 29

4 Afsnit 2: NaviPartner København ApS beskrivelse af kontroller i forbindelse med drift af Microsoft Dynamics NAV hosting-platform NaviPartner København ApS og vores ydelser NaviPartner København ApS er et landsdækkende softwarehus med vidtgående kompetencer inden for Microsoft Dynamics NAV og er blandt Danmarks største Microsoft Dynamics-partnere. Vi er kendt for vores mange brancheløsninger såvel som mere "almindelige" løsninger. NaviPartner København ApS har siden 2004 drevet central hosting af NAV-produkter for vores kunder og har dermed opbygget en solid og vidt omfavnende viden omkring drift af NAV. NaviPartner København ApS bygger på nogle enkle grundelementer, der gør det nemt for en virksomhed både at komme i kontakt med os og efterfølgende få stor glæde og udbytte af samarbejdet og det er netop langvarigt samarbejde, vi sigter imod. På denne måde sikres bedst muligt et godt kendskab mellem os og virksomheden. Jo mere kendskab til hinanden, jo bedre forstår vi hinanden. NaviPartner København ApS arbejder ud fra værdigrundlaget nærhed, enkelhed, nytænkning og kvalitet: Nærhed Nærhed er både fysisk og mentalt. NaviPartner København ApS har afdelinger landet over, så man hurtigt kan rekvirere vores assistance. Men nærhed er også at være mentalt tæt på opgaven og kunden. Det er vores helt klare holdning, at vores medarbejdere skal kunne forstå kundens virksomheds behov og problemstilling for derved bedst at kunne løse kundens opgaver. Enkelhed Hvorfor gøre tingene mere komplicerede end de er? En problemstilling kan være kompliceret, men vi ser det som vores fornemste opgave at gøre tingene enkle. Vi foretrækker også at bruge det danske sprog til at forklare os med. Nytænkning Adskillige virksomheder har allerede stiftet bekendtskab med vores ofte utraditionelle måde at gennemtænke løsninger på. Det er ikke givet, at den måde, opgaverne er blevet løst på tidligere, også netop er den mest optimale. Kvalitet Kvalitet kan man som kunde med rette forlange. Det er vores mål, at man får kvalitet ud af samarbejdet med os. Det er vigtigt, at kunden føler, at NaviPartner København ApS gør en positiv forskel. NaviPartner København ApS udbyder følgende services; udvikling, implementering, hotline og hosting af Microsoft Dynamics NAV. Denne revisionserklæring omhandler kun drift af Microsoft Dynamics NAV, hvilket betyder, at den indbefatter følgende: Netværk og serverinfrastruktur Sikkerhed på infrastruktur og servere Windows operativsystem og domains Microsoft SQL server Backupprocedurer Autentifikation af brugere REVI-IT A/S Side 2 af 29

5 Organisation og ansvar NaviPartner København ApS er opdelt i følgende afdelinger: Hotline, teknik, salg, NAV udvikling, webudvikling og hosting. Det overordnede ansvar for hosting i NaviPartner København ApS påhviler hostingafdelingen. Hosting-afdelingen består af CTO Christian Dam, systemadministrator Mikkel Rasmussen og systemadministrator Geetum Lochee. Det er hosting-afdelingen, der udarbejder procedurer og kontroller samt udfører vedligeholdelse og sikrer den daglige drift. Ændringer til driftsmiljøet udføres af hostingafdelingen, evt. i samarbejde med andre relevante afdelinger. Hosting-afdelingen rapporterer direkte til ledelsen samt administrerende direktør Mark Pedersen og klarlægger eventuelle problemer og forbedringer, som ønskes foretaget på driftsmiljøet. Generelt om vores kontrolmål og implementerede kontroller NaviPartner København ApS kvalitetsstyringssystem er defineret ud fra vores overordnede målsætning om, at levere stabil og sikker it-drift til vores kunder. For at kunne levere dette, er der implementeret politikker og procedurer, som sikrer, at leverancer er ensartede og gennemsigtige. NaviPartner København ApS it-sikkerhedspolitik er udarbejdet med reference til ovenstående, og er gældende for alle medarbejdere og for alle leverancer. NaviPartner København ApS' metodik for implementering af kontroller er defineret med reference til ISO 27002:2013 (Regelsæt for styring af informationssikkerhed), og er dermed helt overordnet inddelt i følgende kontrolområder: 4 - Risikovurdering og -håndtering 5 - Sikkerhedspolitik 6 - Organisering af informationssikkerhed 7 - Sikkerhed i forhold til HR 8 - Styring af aktiver 9 - Adgangskontrol 10 - Kryptografi 11 - Fysiske og miljømæssige sikringer 12 - Sikkerhed i forbindelse med drift 13 - Kommunikationssikkerhed 14 - Anskaffelse, udvikling og vedligeholdelse 15 - Leverandørforhold 16 - Styring af sikkerhedshændelser 17 - Informationssikkerhedsaspekter ved beredskabsstyring 18 - Overensstemmelse. REVI-IT A/S Side 3 af 29

6 Der foretages løbende forbedringer af både politikker, procedurer og den operationelle drift. Der foretages årligt revision af, hvorvidt NaviPartner København ApS lever op til leverancen af de aftalte driftsydelser. NaviPartner København ApS' driftsmiljø bestående af software og hardware op til og med rackskabene er købt og ejet 100 % af NaviPartner København ApS. Driftsmiljøet er fysisk placeret i et datacenter hos Global Connect, der således leverer den omgivende co-location infrastruktur til driftsmiljøet f.eks. køling, strøm, UPS, internet, og fysisk sikring af bygning. NaviPartner København ApS indhenter og gennemgår årligt revisionsrapport fra GlobalConnect og er derudover i løbende dialog med GlobalConnect omkring de services, de leverer til NaviPartner København ApS. 4 - Risikovurdering og -håndtering 4.1 Risikovurdering NaviPartner København ApS har procedurer for løbende risikovurdering af vores forretning og specielt vores driftsmiljø. Dermed sikres, at de risici, som er forbundet med de services og ydelser, vi stiller til rådighed, er minimeret til et acceptabelt niveau. Risikovurdering foretages periodisk, samt når der foretages ændringer eller implementeres nye systemer, som vurderes at være relevante for at revurdere den generelle risikovurdering. Ansvaret for risikovurderinger er hos CTO, og skal efterfølgende forankres og godkendes hos NaviPartner København ApS ledelse Håndtering af sikkerhedsrisici Ved ændringer som foretages på driftsmiljøet, det være sig både hardware- eller software-relateret, skal der udføres en forudgående risikoanalyse. Ændringer opdeles i major og minor changes, alt efter hvor stor indflydelse det har på driftsmiljøet. Ud fra risikoanalysen opstilles der procedurer for, hvorledes ændringen skal foretages. I denne procedure skal der være tænkt på, hvilke løsningsscenarier der skal være klar, hvis der skulle gå noget galt med implementeringen af ændringen. Nedenfor er listet eksempler på forskellige ændringer, hvortil der findes procedurer samt change- og risikovurdering: Ændring af brugere på systemet (tilføjelse, sletning eller ændring af rettigheder for bruger) Ændring af core komponenter til driftsmiljøet (fx domain controller, SQL server, HyperV server, netværkskomponenter) Ændring af redundant komponent til driftsmiljøet (fx harddisk, PSU) Ændring af software i driftsmiljøet (tilføjelse, ændring eller sletning). 5 Sikkerhedspolitik 5.1 It-sikkerhedspolitik NaviPartner København ApS' it-sikkerhedspolitik er udarbejdet på baggrund af forretningsstrategien for derved at understøtte og komplimentere de mål og visioner, som ledelsen har opsat for NaviPartner København ApS; derfor skal it-sikkerhedspolitikken også godkendes årligt af ledelsen. Der sker løbende en evaluering af it-sikkerhedspolitikken dog som minimum en gang om året. 6 Organisering af informationssikkerhed Intern organisering Delegering af ansvar for informationssikkerhed NaviPartner København ApS er opdelt i forskellige afdelinger. Hver afdeling er tildelt forskellige rettigheder, alt efter hvilke arbejdsopgaver afdelingen udfører. REVI-IT A/S Side 4 af 29

7 6.1.2 Funktionsadskillelse Alt arbejde med driftsmiljøet bliver varetaget af hosting-afdelingen, og det er kun ansatte i denne afdeling, der kan have administrativ adgang på domain niveau Kontakt med myndigheder NaviPartner København ApS drifter til dags dato ikke data eller services, hvortil det er et krav, at vi er kontakt med myndigheder Kontakt med særlige interessegrupper NaviPartner København ApS er registret ved DK-CERT, og vi forholder os løbende til opdateringer/nyheder derfra Informationssikkerhed som en del af projektstyring NaviPartner København ApS tager stilling til it-sikkerhed i alle vores projekter, uanset størrelse og type. 6.2 Mobilt udstyr og fjernarbejdspladser Politik for mobile enheder Retningslinjerne for mobilt udstyr og kommunikation til/fra disse er beskrevet for NaviPartner København ApS' ansatte i it-sikkerhedspolitikken. Der er åbnet for adgang til, at ansatte og vores kunder kan benytte mobile enheder (smartphones, tablets mv.) til synkronisering af mails og kalender. Ansattes mobile enheder skal som minimum være forsynet med adgangskode/lås Fjernarbejdspladser NaviPartner København ApS' arbejdsgange og driftsmiljø er bygget op omkring fjernarbejdspladser. Adgang til driftsmiljø, og dermed potentielt til systemer og data, sker kun for autoriserede personer. Tilgangen til driftsmiljøet foregår på samme vis, uanset om man sidder på et NaviPartner København ApS kontor eller eksternt. 7 Sikring i forhold til HR 7.1 Inden ansættelse Screening NaviPartner København ApS har procedurer for ansættelse af medarbejdere og for samarbejde med eksterne partner. Der er udarbejdet rolle- og ansvarsbeskrivelser for de forskellige afdelinger Ansættelsesforhold Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i hver medarbejders ansættelseskontrakt. 7.2 Under ansættelse Ledelsens ansvar Der forefindes gældende politikker og procedurer for alle afdelinger i NaviPartner København ApS. Ved brug af eksterne leverandører benyttes kontrakter, som sikrer, at samarbejdet overholder itsikkerhedspolitikken Bevidsthed om, uddannelse og træning i informationssikkerhed NaviPartner København ApS' ansatte er i høj grad vores vigtigste ressource. NaviPartner København ApS sikrer, at ansatte har den nødvendige viden og kvalifikationer ved fortløbende uddannelse og certificering. Der afholdes jævnligt fællesmøder, hvor relevant information kan videregives, for at sikre at alle medarbej- REVI-IT A/S Side 5 af 29

8 dere er up to date med produkter, sikkerhed og procedurer. Der forefindes procedurer for, hvordan information deles hurtigt, hvis der opstår forhold, som ansatte bør have viden om Sanktioner Generelle vilkår for ansættelse, herunder forhold omkring sanktioner ved evt. sikkerhedsbrud, er beskrevet i hver medarbejders ansættelseskontrakt. Ved samarbejde med eksterne parter vil evt. sanktioner være beskrevet i kontrakten. 7.3 Ophør og ændring i ansættelse Ansvar ved ophør Generelle vilkår for ansættelse, herunder forhold omkring ophør, er beskrevet i hver medarbejders ansættelseskontrakt. Det overordnede ansvar for sikring af alle kontroller i fratrædelsesprocessen ligger hos den ansattes leder. 8 Styring af aktiviteter 8.1 Ansvar for aktiver Fortegnelse over aktiver NaviPartner København ApS dokumenterer de forskellige servere og roller, som forefindes i driftsmiljøet. De forskellige roller har alle en række software-komponenter installeret; disse er også dokumenteret i oversigten. Derudover er netværksopbygningen af hele driftsmiljøet, herunder forbindelser til firewalls samt IPsegmenter, dokumenteret. Dokumenterne revurderes løbende, minimum årligt, for at sikre overensstemmelse med driftsmiljøet Ejerskab af aktiver Hosting-afdelingen har ejerskab for hele NaviPartner København ApS' driftsmiljø Acceptabel brug af aktiver Acceptabel brug af driftsmiljøet er beskrevet for medarbejderne i it-sikkerhedspolitikken. Acceptabel brug af driftsmiljøet for kunderne er beskrevet i deres kontrakter Tilbagelevering af aktiver Ved ophør af en ansættelse skal medarbejdere tilbagelevere alle relevante aktiver, som har været stillet til rådighed af NaviPartner København ApS. Adgangen til NaviPartner København ApS' systemer lukkes, så snart ansættelsen ophører. 8.2 Dataklassifikation Klassifikation af data Data på driftsmiljøet er klassificeret ud fra, hvor kritisk det vurderes, og hvorledes det skal kunne genetableres. Der er tre klassificeringer: Ikke kritisk, kritisk og meget kritisk Mærkning og håndtering af informationer Klassifikationen bliver løbende vurderet, dog minimum årligt. Der er procedure for sikringen af data, og via stikprøver bliver disse kontrolleret Håndtering af aktiver Kundedata sikres, ved at det kun må opbevares på godkendte driftsservere i driftsmiljøet. Der kopieres kun data til håndbårne medier efter direkte aftale med kunden. REVI-IT A/S Side 6 af 29

9 8.3 Mediehåndtering Styring af bærbare medier Adgangen til driftsmiljøet for medarbejderne er beskyttet af personligt brugernavn/adgangskode, ligesom det er tilfældet for kunderne. Adgangen for ansattes bærbare enheder kan derfor hele tiden kontrolleres og fjernes, hvis der skulle være behov for dette. Der findes ikke kritisk kundedata på bærbare enheder uden kundens accept. Yderligere information omkring håndtering og opbevaring af bærbare medier og enheder findes i ir-sikkerhedspolitikken Bortskaffelse af medier Alt databærende udstyr (USB, CD/DVD, harddiske mv.) destrueres inden bortskaffelse for at sikre, at data ikke er tilgængeligt. Der forefindes samarbejdsaftale med underleverandør for retmæssig destruktion af disse medier Fysiske medier under transport Såfremt datamedier udtages fra driftsmiljøet, håndteres disse udelukkende af ansatte i driftsafdelingen. Datamedier sikres uden for driftsmiljøet ved opbevaring i aflåst rum, eller de bringes direkte til destruktion. 9 - Adgangskontrol 9.1 Forretningskrav til adgangskontrol Politikker for adgangsstyring Der findes politik for adgangstildeling. Politikken er en del it-sikkerhedspolitikken Adgang til netværk og netværksservices Ved brug af netværkstjenester autentificeres brugeren med brugernavn og kodeord over en krypteret forbindelse. 9.2 Administration af brugeradgange Brugeroprettelses- og nedlæggelsesprocedure Med udgangspunkt i it-sikkerhedspolitikken bliver NaviPartner København ApS-ansatte tilegnet rettigheder til kunde systemer ud fra hvilke kunder, medarbejderne skal arbejde med. Oprettelsen finder sted på baggrund af ønske fra afdelingslederen. Ved fratrædelse sikrer vores procedurer aflevering af materiale og lukning af medarbejderens konti. Brugeroprettelse til kunder foretages på baggrund af henvendelse fra den/de primære kundekontaktpersoner, der findes. Adgangen bliver herefter tilegnet til de ønskede brugere samt til de ønskede kundedata. Alle brugere er styret i Windows domain, hvor brugere er opdelt ud fra tilhørsforhold og derefter hvilke yderligere adgange, som er tildelt Rettighedstildeling Tildeling af privilegier er kontrolleret i forbindelse med vores normale brugeradministrationsprocedurer Kontrol med privilegerede adgangsrettigheder Anvendelsen af password er kontrolleret via regler implementeret automatisk via Gruppe Politikker Håndtering af fortrolige logon informationer NaviPartner København ApS' medarbejdere bliver løbende uddannet i it-sikkerhed, herunder håndtering af fortrolige informationer, såsom deres login-informationer osv. REVI-IT A/S Side 7 af 29

10 9.2.5 Evaluering af brugeradgangsrettigheder Der foretages løbende evaluering af brugere og deres tildelte privilegier Nedlæggelse eller tilpasning af adgangsrettigheder Ved ophør af en ansættelse sikres det, at alle medarbejderens adgange til bygninger, systemer og data inddrages. Er der tale om en ændring af arbejdsopgaver, lukkes adgange, der ikke længere kan retfærdigøres med hensyn til et arbejdsbetinget behov. 9.3 Brugeransvar Brug af adgangskode NaviPartner København ApS' it-sikkerhedspolitik foreskriver, at medarbejderes brugernavn og kodeord er personlige, og det er alene den ansatte selv, der må kende kodeordet. Det sikres ved ansættelse, at medarbejderen har læst og forstået seneste version af vores medarbejderhåndbog, og at de løbende skal holde sig opdateret med denne. Servicekonti, der bruges til at afvikle forskellige Windows services, kan have passwords, der ikke udløber. Disse brugere sikres ved, at de ikke kan logge på serverne, men udelukkende kan bruges til at afvikle services. 9.4 Kontrol af adgang til systemer og data Begrænset adgang til data Medarbejdere er opsat med differentieret adgang, og har således alene adgang til de systemer og til de data, som er relevant for arbejdsindsatsen. Kunder opsætter selv reglerne for, hvad deres brugere skal kunne tilgå af software og funktionalitet på driftsmiljøet, inden for de overordnede rammer NaviPartner København ApS har opsat på driftsmiljøet Procedurer for sikker log-on Ansatte og kunder benytter en krypteret kommunikationsprotokol til at forbinde til driftsmiljøet. Ansatte vil blive bedt om at indtaste password ved hver logon og har dermed ikke mulighed for at gemme brugernavn/password. Kunders driftsmiljø er låst ned til kun at give dem adgang til netop deres data System for administration af adgangskoder Alle brugere, på tværs af både kundesystemer og egne systemer, har restriktioner omkring adgangskode. Alle brugere har en adgangskode, og det er systemmæssigt sat op således, at der er begrænsninger ift. udformningen af kodeordet. Adgangskoder for NaviPartner København ApS-ansatte skal skiftes regelmæssigt; de skal være komplekse, og må ikke tidligere været anvendt Adgangskoder på domænet er kontrolleret via regler defineret i Gruppe Politik Anvendelse af privilegerede systemværktøjer Rettighederne til administratorer er styret igennem Windows Gruppe-medlemskab eller igennem delegation i Active Directory Kryptografi 10.1 Kontrol med anvendelsen af kryptografi Politik for anvendelse af kryptografi It-sikkerhedspolitikken indeholder en formel politik for anvendelse af kryptografi til beskyttelse af data og forbindelser, samt administration af krypteringsnøgler. REVI-IT A/S Side 8 af 29

11 Administration af krypteringsnøgler Certifikater, der anvendes til kryptering eller signering, indkøbes af driftsafdelingen. Driftsafdelingen er ansvarlig for sikker opbevaring af certifikater. 11 Fysisk og miljømæssige sikringer 11.1 Sikre områder Fysisk skalsikring Alle lokationer indeholdende it-driftsmiljø for NaviPartner København ApS er som minimum sikret med videoovervågning, køling samt aflåst med separat nøgle. Derudover er det primære driftsmiljø yderligere sikret med følgende: Overvågning fra on-site døgnbemandet vagtcentral Redundante dieselgeneratorer Redundante UPS-anlæg Redundante strømforsyninger til hvert rack/footprint Gennemgående jordskinne Redundante køleanlæg outdoor Redundante indoor køleenheder Alarmer, adgangskontrol og videoovervågning Tilkaldevagt af egen teknikere Tilkaldevagt af tekniske underleverandører Sikkerhedszoner med tilhørende alarmer samt adgang med nøglekort og indgangskoder Logning af alle adgange Hævede EDB-gulve Fire protection, brand- og røgalarmer, iondetektorer Brandslukning med luftart (Inergen) Fysisk adgangskontrol Kun autoriserede personer får adgang til driftsmiljøet via den etablerede procedure. Der følges periodisk, minimum årligt, op på hvilke personer, der har fysisk adgang til driftsmiljøet. Skal eksterne personer (leverandører eller kunder) have adgang til driftsmiljøet, foretages en risikovurdering, og adgang gives kun i følgeskab med en af vores autoriserede medarbejdere Sikring af kontorer, lokaler og faciliteter NaviPartner København ApS' hovedkontor er monteret med tyverialarm samt videoovervågning; i tilfælde af indbrud alarmeres relevante personer. Adgangen til driftsmiljø er derudover sikret med kortscanner og PIN. Der er ingen uvedkommende, der kan gå uhindret omkring i vores kontorer, da der altid er bemanding ved receptionen og uden for åbningstid er alle skaldøre samt relevante interne døre aflåste Beskyttelse mod eksterne og miljømæssige trusler Driftsmiljøet er placeret i tier2-godkendt driftscenter, som har følgende overvågning af servercenteret: Fire protection, brand- og røgalarmer samt iondetektorer. Derudover er der vandsensorer på det nederste gulv. GlobalConnect forestår vedligehold, jævnlig kontrol og test Arbejde i sikre områder I driftsmiljøet er der procedurer for ophold og arbejde i serverrummet. Der må ikke indtages mad/drikke på stedet; der må ikke tages billeder, og der må ikke efterlades affald. REVI-IT A/S Side 9 af 29

12 Områder for aflevering og lastning af gods og pakker Der er monteret kortscanner med tilhørende PIN-kode til alle lokaler ved det primære driftsmiljø. Rackskabene indeholdende NaviPartner København ApS' udstyr er aflåst; udelukkende autoriserede personer har nøgle til rackskabene Udstyr Placering og beskyttelse af udstyr Driftsmiljøet er placeret i tier2-godkendt driftscenter. Dette er fysisk sikret med videoovervågning, alarmer og adgangskontrol. Alle adgange logges Understøttende forsyninger (forsyningssikkerhed) Driftsmiljøet er udstyret med redundant strøm. Alle driftskritiske servere får strøm fra to forskellige strømforsyninger. Der er monteret UPS-anlæg og dieselgeneratorer. Driftsmiljøet er ligeledes opsat med redundante kølingsfaciliteter. GlobalConnect forestår vedligehold, jævnlig kontrol og test af kølings- og strømfaciliteter Sikring af kabler Ved driftsmiljøet er kablingen af strøm og netværk så vidt muligt opdelt. Derudover anvendes forskellige farvekoder til de forskellige netværk. Netværk og netværksudstyr overvåges, og fx brud på et netværkskabel vil resultere i en alarm Vedligeholdelse af udstyr NaviPartner København ApS udfører rutinemæssigt udskiftning og vedligeholdelse af driftsmiljøet. Dette gøres både gennem overvågning, som alarmerer om opståede fejl på hardware, men også igennem planlagte servicevinduer, hvor udtjent udstyr opgraderes eller udskiftes Fjernelse af udstyr, data og software Ved fjernelse af hardware bliver medier med data udtaget og derefter sendt til underleverandør, som sikrer retmæssig destruktion af disse. Ved fjernelse af regnskabsdata beholdes en backup i en periode foreskrevet af regnskabsloven. Fjernelse af data eller hardware/software sker kun efter godkendelse fra hosting-afdelingen Sikring af udstyr uden for virksomhedens lokaler Der er opsat retningslinjer i it-sikkerhedspolitikken for udstyr, der benyttes uden for NaviPartner København ApS' kontor Sikker bortskaffelse eller genbrug af udstyr Der er opsat procedurer for, at alt udstyr med lagringsmedier skal kontrolleres for at sikre, at kritiske/følsomme informationer og licensbelagte systemer er fjernet eller overskrevet i forbindelse med, at udstyret bortskaffes eller genbruges. Der er indgået aftale med underleverandør omkring destruktion af harddiske, for at sikre, at dette foretages retmæssigt Brugerudstyr uden opsyn Sessioner for ansatte låses efter 15 minutters inaktivitet. Sessioner for kunder logges af efter 3 timers inaktivitet Politik for ryddeligt skrivebord og blank skærm It-sikkerhedspolitikken indeholder retningslinjer for ansatte angående ryddeligt skrivebord og låsning af skærm. REVI-IT A/S Side 10 af 29

13 12 Sikring i forbindelse med drift 12.1 Operationelle procedurer og ansvarsområder Dokumenterede driftsprocedurer Driftskritiske arbejdsopgaver er nedskrevet som driftsprocedurer; hermed sikres at opgaverne bliver løst ens. Der opereres med dobbeltroller på udvalgte systemer, som sikrer personuafhængighed. Systemdokumentationen opdateres løbende Ændringsstyring Ændringer i driftsmiljøet skal udspringe af en sag i NaviPartner København ApS' sagskartotek. For hver ændring skal der laves en risikovurdering for at vurdere, om ændringen skal klassificeres som major eller minor. Ved tvivl om klassificering skal kollega tages med på råd, og valg af klassificering skal dokumenteres. Følgende ændringer er allerede klassificeret: Major o Alle hardware-ændringer udført i datacenteret, med undtagelse af skift af hotplug-enheder o Installation/opsætning af ny virtual server til kundemiljø. Minor o Udskiftning af redundant hotplug-harddisk o Oprettelse eller nedlæggelse bruger o Reset password o Ændring af brugerrettigheder i NAV o Sletning samt ind- og udlæsning af NAV regnskaber o Tildeling of fjernelse af adgang til Office/Jetreports o Opsætning af ny NAV database, NAV server og Webklient o Opsætning af NAS samt Webservice. Gældende for alle ændringer klassificeret som Minor, Major og Project, er at det skal dokumenteres, hvilken procedure der er blevet fulgt. Ved major changes skal der i tillæg til change-oprettelsen udfyldes og vedhæftes en Major Change Request form. Major changes skal godkendes af øverste leder af hostingafdelingen Kapacitetsstyring Driftssystemer overvåges og monitoreres 24/7/365. På baggrund af opsatte grænseværdier afsendes alarmer til driftsafdelingen, som efterfølgende vurderer alarmen og tager nødvendig handling for at løse den. Gennem overvågningssystemet monitoreres de tilgængelige ressourcer på driftsmiljøet, og der evalueres løbende, om der er tilstrækkelig fri kapacitet Adskillelse af udviklings-, test- og driftsfaciliteter Kunde-, samt udviklings-/testmiljø, er opdelt således, at de ikke kan påvirke hinanden. Adgangen til de forskellige miljøer bliver kun tildelt ansatte eller kunder med reelt adgangsbehov Beskyttelse mod malware Foranstaltninger mod malware Servere i driftsmiljøet er sikret således, at det kun er administratorer, der kan afvikle installationsprogrammer. Servere i driftsmiljøet er låst ned til kun at indeholde de absolut nødvendige programmer og funktioner. Kundelogins er begrænset til kun at kunne afvikle en liste af godkendte programmer; hermed sikres uautoriseret brug af tredjepartssoftware på driftsmiljøet. På kundevendte servere benyttes om muligt antivirus-systemer. REVI-IT A/S Side 11 af 29

14 12.3 Backup Sikkerhedskopiering af informationer Der foretages hver nat en fuld backup af alle drifts-sql-databaser samt filservere. Derudover foretages der i dagtimerne hvert kvarter backup af transaktionslogs på SQL-databaserne, for at muliggøre genetablering af SQL-databaserne med maksimalt 14 minutters tab. Backups bliver hver nat overført til sekundært backupmiljø, hvorfra der dagligt tages en båndbackup. Backupbånd roteres over ti dage, hvorefter der udtages bånd, som sendes til opbevaring ved ekstern samarbejdspartner. Der foretages dagligt kontrol af, at backup er kørt fejlfrit. Backupdata verificeres løbende via stikprøver og via gendannelse af drifts-sql-databaser til udviklingsformål. Der forefindes procedure for backuphåndtering Logning og overvågning Hændelseslogning Bruger logon og logoff logges centralt. Al afvist trafik og udvalgt godkendt trafik igennem firewall bliver logget Beskyttelse af logoplysninger Logs er udelukkende tilgængelige for autoriseret personale Administrator- og operatørlog Logning af administratorer sker i forbindelse med den generelle logning Tidssynkronisering Der er opsat tidssynkronisering på alle servere i driftsmiljøet Styring af software på driftssystemer Installation af programmer på driftssystemer Der anvendes SCCM til styring af patch management. Patches bliver først frigivet til en testgruppe af servere og bliver efterfølgende publiceret til resterende servere efter et fastsat interval. Ændringer i software på vores driftsplatform skal gå gennem vores definerede change management-procedure. Der forefindes formel patch management-procedure Styring af tekniske sårbarheder Styring af tekniske sårbarheder Hosting-afdelingen indhenter løbende informationer om eventuelle sårbarheder i de anvendte systemer. Sårbarhederne evalueres, og passende foranstaltninger implementeres for at modvirke de nye risici. Når nye sårbarheder er aktuelle for NaviPartner København ApS' driftsmiljø, udarbejdes en plan for udbedring af sårbarheden. Planen skal indeholde oplysninger om sårbarhedens risikoprofil, hvornår en opdatering planlægges gennemført og eventuelt hvilke kompenserende foranstaltninger, der er foretaget. Hvis sårbarheden udbedres umiddelbart, eksempelvis som en del af en automatisk opdatering, skal der ikke udarbejdes nogen plan Begrænsning ag programinstallering Driftsmiljøet er låst ned i en sådan grad, at det ikke er muligt for ikke-administratorer at installere programmer. REVI-IT A/S Side 12 af 29

15 12.7 Overvejelser i forbindelse med revision af informationssystemer Foranstaltninger i forbindelse med revision af informationssystemer Revisionshandlinger i forbindelse med systemer i drift skal planlægges omhyggeligt og aftales med de involverede for at minimere risikoen for forstyrrelser af driftsplatformen. Revisionsværktøjer skal så vidt muligt adskilles fra driftsmiljøet og må ikke opbevares i generelt tilgængelige biblioteker, medmindre de har den fornødne beskyttelse. Såfremt revisionen udføres af en ekstern samarbejdspartner, skal der indgås en formel samarbejdsaftale. Om muligt skal revision foregå på kopidata, fx et separat gendannet miljø bestående af virtuelle maskiner udelukkende til revisionsformålet. 13 Kommunikationssikkerhed 13.1 Håndtering af netværkssikkerhed Netværksforanstaltninger Netværket ved driftsmiljøet er sikret ved, at brugere har mindst mulige rettigheder på de servere, de logger på. For at begrænse angrebsfladen mest muligt, er der installeret mindst muligt software på de servere, der findes i driftsmiljøet. Servernes forbindelse til internettet beskyttes ved brug af en redundant firewall, som kun tillader udvalgte protokoller fra internettet ind til driftsmiljøet. Dertil kan der på enkelt protokolniveau være spærret/åbnet for enkelte IP-segmenter for at højne sikkerheden yderligere Sikring af netværkstjenester NaviPartner København ApS' services tilgås via standardiserede kommunikationsprotokoller. Tilgangen er som minimum sikret ved hjælp af den standardkryptering, der er indbygget i den enkelte kommunikationsprotokol. Services tilgås med brugernavn/adgangskode og evt. gøres der brug af IP whitelist, så kun udvalgte IPadresser har tilgang til de enkelte services. Der benyttes kryptering til al datakritisk trafik, som sendes henover internettet. NaviPartner København ApS er ansvarlig for driften og sikkerheden på systemerne samt netværket ud til internettet. Vores kunder er selv ansvarlige for at kunne tilgå internettet fra deres egen lokation Opdeling af netværk Driftsmiljøet et opdelt i segmenter for at sikre adskillelse af administrative netværk og kundenetværk Dataoverførsel Politikker og procedurer for dataoverførsel Fortrolige informationer udveksles ikke via mail. Kunder hos NaviPartner København ApS har adgang til et sagssystem, hvorpå skreven kommunikation mellem kunde og NaviPartner København ApS foregår. Dette sikrer, at det er den autoriserede person, som NaviPartner København ApS har kontakt til. Alternativt foregår kommunikation over telefon. Glemte kodeord, bestillinger mv. håndteres først efter, at vores medarbejdere har konstateret, at det er den rigtige og autoriserede person, vi har kontakt til Aftaler om dataoverførsel Kundedata udleveres kun til tredjepart, såfremt kunde anmoder og efterfølgende accepterer dette. Anmodning og accept verificeres enten per telefon eller via sagssystem Elektroniske meddelelser NaviPartner København ApS benytter udelukkende Microsoft Exchange som -platform og Lync/Skype til IM-platform. Dermed sikres det, at vi har en ensartet kommunikationsplatform ansatte imellem. Filer kan deles mellem ansatte enten via fælles drev på filserver eller via . REVI-IT A/S Side 13 af 29

16 Fortrolighedsaftaler eller NDA NaviPartner København ApS' medarbejdere er underlagt fortrolighedsaftaler igennem ansættelseskontrakter. Underleverandører og samarbejdspartnere er underlagt tavshedspligt igennem kontrakter. 15 Leverandørforhold 15.1 Informationssikkerhed i leverandørforhold It-sikkerhedspolitik i forhold til leverandørforhold Aftaler med vores leverandører indgås i forhold til it-sikkerhedspolitikken, for at imødegå de risici, der er forbundet med leverandørens adgange til vores aktiver Sikkerhedsforhold i leverandøraftaler NaviPartner København ApS fører løbende kontrol med underleverandører for at sikre, at de overholder de indgåede aftaler. Konkret udføres dette ved løbende overvågning af de leverede services, igennem stikprøvekontroller og opfølgende samtaler. Såfremt uvildig revisionserklæring forefindes, gennemgås denne Styring af serviceydelser fra tredjepart Styring af ændringer af serviceydelser Når der sker ændringer internt i organisationen, herunder i politikker og procedurer, samt ændringer til vores ydelser eller ydelser fra vores eksterne samarbejdspartnere, foretages en risikovurdering for at afdække, om ændringerne får indflydelse på vores aftale med kunderne. Ansvaret for vedligehold af leverandørkontrakter og bilag er formaliseret. 16 Styring af sikkerhedshændelser 16.1 Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer NaviPartner København ApS' medarbejdere er forpligtiget til at holde sig opdaterede vha. producenters supporthjemmesider, debatfora mv. for konstaterede svagheder i de systemer, vi benytter og tilbyder Rapportering af informationssikkerhedshændelser Sagssystemet, hvori vi håndterer sager for kunder og interne forhold, er samtidig vores system til håndtering af sikkerhedshændelser. Heri eskaleres forhold således, at opgaver får højere prioritet end andre. Herudover vil sikkerhedshændelser afstedkommet fra hhv. egne observationer, alarmering ud fra log- og overvågningssystem, telefoniske henvendelser fra kunder, underleverandører eller samarbejdspartnere, blive eskaleret fra vores hotline til driftsafdelingen med samtidig orientering til ledelsen. Disse hændelser bliver samtidigt også oprettet i sagssystemet Rapportering af sikkerhedssvagheder NaviPartner København ApS' medarbejdere er gennem it-sikkerhedspolitikken forpligtet til at anmelde enhver sikkerhedshændelse til hosting-afdelingen, så der hurtigst muligt kan reageres på hændelsen, og nødvendige tiltag kan udføres, jf. de etablerede procedurer Vurdering af informationssikkerhedsbrud Der er udarbejdet en formel procedure for vurdering af sikkerhedshændelser, denne er forankret i beredskabsplanen. REVI-IT A/S Side 14 af 29

17 Reaktion på informationssikkerhedshændelser Den nødvendige reaktion på sikkerhedshændelser besluttes af beredskabsgruppen, såfremt dette er tiltrådt, eller af ledelsen i NaviPartner København ApS At lære af informationssikkerhedsbrud Ud over en generel evaluering foretages også en formel root cause analyse for at sikre, at de opståede sikkerhedshændelser ikke gentager sig. På baggrund af konklusionen på analysen og evaluering foretages en opdatering af it-sikkerhedspolitikken og andre relevante dokumenter/procedurer Indsamling af beviser Der forefindes procedurer for indsamling og gennemgang af relevante logfiler og beviser. 17 Informationssikkerhedsaspekter ved beredskabsstyring 17.1 Beredskab Beredskabsplanlægning Der er udarbejdet en formel og fast procedure til styring af beredskabsplanlægningen på alle niveauer. I beredskabsplanlægningen er målet at opretholde samt styrke informationssikkerheden i de forskellige nedskrevne procedurer Implementering af nødplaner og procedurer Der er implementeret formelle nødplaner og procedurer ved beredskab Prøvning, vedligeholdelse og revurdering af beredskabsplaner Beredskabsplanen er forankret i it-risikoanalysen og vedligeholdes som minimum årligt i forlængelse af udførelsen af analysen. Beredskabsplanen testes som en del af beredskabet. Efter endt test analyseres resultatet, og på den baggrund opdateres de relevante elementer, procedurer og planer Redundans Tilgængelighed af driftssystemer Driftsmiljøet er opsat med tilstrækkelig redundans for at imødegå krav til tilgængelighed. NaviPartner København ApS er forpligtet over for kunder til at overholde den gældende SLA. 18 Overensstemmelse Overensstemmelse med love og kontraktmæssige krav Identifikation af gældende lovgivning og kontraktmæssige krav NaviPartner København ApS er ikke underlagt særlig lovgivning i forhold til NaviPartner København ApS' ydelser. NaviPartner København ApS' kunder kan dog være underlagt særlig lovgivning; og i de tilfælde, er NaviPartner København ApS' understøttelse heraf aftalt særskilt Ophavsrettigheder NaviPartner København ApS er forpligtet sig til at overholde gældende licens og ophavsrettigheder Beskyttelse af registreringer Der taget backup af forretningskritisk data efter den gældende backupprocedure. Backup opbevares efterfølgende ved samarbejdspartner, som overholder British Standard BS7799. REVI-IT A/S Side 15 af 29

18 Beskyttelse af personoplysning Der er udarbejdet en tavshedspligt, som alle NaviPartner København ApS-ansatte har underskrevet ved ansættelse. Dette er yderligere beskrevet i NaviPartner København ApS' interne personalehåndbog Regulering af kryptografi NaviPartner København ApS anvender primært den indbyggede kryptering, som forefindes i de kommunikationsprotokoller, der benyttes. Specifikke services kan være yderligere krypteret i form af VPN Review af informationssikkerheden Uafhængig evaluering af informationssikkerhed Der foretages løbende evaluering af NaviPartner København ApS af ekstern it-revisor samt i forbindelse med den årlige ISAE 3402-erklæring Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder It-sikkerhedspolitikken indeholder retningslinjer, der sikrer, at alle NaviPartner København ApS-ansatte følger de til enhver tid gældende sikkerhedspolitikker og sikkerhedsstandarder Kontrol af teknisk overensstemmelse Kontrolprocedurer og driftsprocedurer sikrer, at tekniske sikringsforanstaltninger gennemgås jævnligt af kompetent ansat. Komplementerende kontroller etableret hos kunderne NaviPartner København ApS kunder er, med mindre andet er aftalt, selv ansvarlige for at etablere forbindelse til NaviPartner København ApS servere. Dette indbefatter, at kunderne selv er ansvarlige for at have en fungerende og tilstrækkelig internetforbindelse samt evt. opsætning og test af alternative internetforbindelser, skulle den primære internetforbindelse fejle. NaviPartner København ApS kunder er ansvarlige for periodisk gennemgang af kundens egne brugerkonti. NaviPartner København ApS kunder er ansvarlige for at ajourføre liste over sammenhæng mellem brugerkonti og ansatte/maskiner. NaviPartner København ApS kunder er ansvarlige for, at deres brugerkonti kun benyttes på deres godkendte personer/maskiner. Skulle der opstå tvivl om kompromitterede brugerkonti ved fx tyveri af pc, er det kundens ansvar at informere NaviPartner København ApS. REVI-IT A/S Side 16 af 29

19 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og effektivitet Til ledelsen hos NaviPartner København ApS, deres kunder, og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om NaviPartner København ApS beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af NaviPartner København ApS ledelse, dækker virksomhedens behandling af kunders transaktioner på virksomhedens drift af Microsoft Dynamics NAV hostingplatform i perioden til , samt udformningen og effektiviteten af de kontroller der knytter sig til de kontrolmål, som er anført i beskrivelsen. Denne erklæring er udarbejdet efter helhedsmetoden og omfatter således ledelsens beskrivelse af kontrolmål og de hertil hørende kontrolaktiviteter hos NaviPartner København ApS på alle områder inden for de generelle it-kontroller, som kan henføres til de leverede serviceydelser. NaviPartner København ApS ansvar NaviPartner København ApS er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udsagn (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret. NaviPartner København ApS er herudover ansvarlig for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål og for udformningen, implementeringen og effektiviteten af fungerende kontroller for at nå de anførte kontrolmål. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om NaviPartner København ApS beskrivelse (afsnit 2) og om udformningen og effektiviteten af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og effektiviteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og effektivitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af effektiviteten af sådanne kontroller, som vi anser for nødvendige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. REVI-IT A/S Side 17 af 29

20 Begrænsninger i kontroller hos en serviceleverandør NaviPartner København ApS beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af effektiviteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i NaviPartner København ApS udsagn i afsnit 2, og det er på den baggrund vores vurdering, (a) at beskrivelsen af kontroller, således som de var udformet og implementeret i hele perioden til , i alle væsentlige henseender er retvisende (b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra til (c) at de testede kontroller, som var de kontroller, der var nødvendige for at give en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden til Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse tester fremgår i det efterfølgende hovedafsnit (afsnit 4). Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt NaviPartner København ApS drift af Microsoft Dynamics NAV hosting-platform, og disses revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 6. november 2015 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, adm. direktør REVI-IT A/S Side 18 af 29

21 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som Navi- Partner København ApS har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden til Vi har således ikke nødvendigvis testet alle de kontroller, som NaviPartner København ApS har nævnt i sin beskrivelse i afsnit 2. Kontroller, udført hos NaviPartner København ApS kunder, er herudover ikke omfattet af vores erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos NaviPartner København ApS via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførelse af kontrol Overordnet beskrivelse Interview, altså forespørgsel af udvalgt personale hos virksomheden angående kontroller Observation af, hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførelse Vi har selv udført eller har observeret en genudførelse af kontroller med henblik på at verificere, at kontrollen fungerer som forventet Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser herfra, har vi anført dette. REVI-IT A/S Side 19 af 29

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

DFF-EDB a.m.b.a CVR nr.:

DFF-EDB a.m.b.a CVR nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I

Læs mere

Navi Partner København ApS CVR-nr.:

Navi Partner København ApS CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af ler, deres udformning og funktionalitet i forbindelse med drift af Microsoft Dynamics NAV hosting-platform i perioden 01-10-2015 til 30-09-2016

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

DFF EDB a.m.b.a. CVR-nr.:

DFF EDB a.m.b.a. CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-12-2014 til 30-11-2015 ISAE 3402-II any.cloud

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Hostet Microsoft Dynamics NAV

Hostet Microsoft Dynamics NAV Hostet Microsoft Dynamics NAV Beskrivelse af driftsmiljøet NaviPartners driftsmiljø er placeret i et datacenter som opereres af GlobalConnect. Det vil sige, at GlobalConnect er ansvarlige for lokaler,

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2015 til 31-12-2015 SYSTEMHOSTING

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017 Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Sotea A/S. CVR nr.: 10 08 52 25. Marts 2016

Sotea A/S. CVR nr.: 10 08 52 25. Marts 2016 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-02-2015 til 31-01-2016 Sotea A/S CVR nr.: 10

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Sotea ApS CVR nr.: DK 10085225

Sotea ApS CVR nr.: DK 10085225 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-08-2014 til 31-01-2015 Sotea ApS CVR nr.: DK 10085225

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

NORRIQ Danmark A/S CVR-nr.:

NORRIQ Danmark A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-01-2016 til 31-12-2016 ISAE 3402-II NORRIQ Danmark

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25814606

SYSTEMHOSTING A/S CVR nr.: 25814606 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2014 til 31-12-2014 SYSTEMHOSTING

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

FYSISK SIKKERHED. Bilag 10-1

FYSISK SIKKERHED. Bilag 10-1 FYSISK SIKKERHED Bilag 10-1 Indholdsfortegnelse 1. FYSISK SIKKERHED... 3 1.1. SIKRE OMRÅDER... 3 1.2. BESKYTTELSE AF UDSTYR... 4 Bilag 10-1 FYSISK SIKKERHED Kunden, side 2 af 6 1. FYSISK SIKKERHED Kundens

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Dokumentation af sikkerhed i forbindelse med databehandling

Dokumentation af sikkerhed i forbindelse med databehandling - Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

any.cloud A/S CVR-nr.:

any.cloud A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelsen i perioden 01-12-2015 til 30-11-2016 ISAE 3402-II any.cloud

Læs mere

WWI A/S CVR-nr.:

WWI A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af deres hostingydelser i perioden 01-12-2015 til 30-11-2016 ISAE 3402-II

Læs mere

Informationssikkerhedspolitik for <organisation>

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001) IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Zentura IT A/S CVR-nr.:

Zentura IT A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med salg og drift af hostingplatform i perioden 01-11-2015 til 31-10-2016 3402-II

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn

Læs mere

It-beredskabsstrategi for Horsens Kommune

It-beredskabsstrategi for Horsens Kommune It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

spørgsmål vedrørende privatlivets fred

spørgsmål vedrørende privatlivets fred Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

Projektopgave Operativsystemer I

Projektopgave Operativsystemer I Velkommen til projekt på Data faget 6222 Operativsystemer I! Udarbejdet af: Anders Dahl Valgreen, mail adva@mercantec.dk, mobil 23 43 41 30 I dette projekt skal din gruppe i tæt samarbejde med resten af

Læs mere

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden?

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? Administrative systemer bundet op mod SRO systemer Hvad med gør vi med IT sikkerheden? Jørgen Jepsen IT-chef Ringkøbing-Skjern Forsyning A/S Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? at

Læs mere

Sotea A/S CVR-nr.:

Sotea A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-02-2016 til 31-01-2017 ISAE 3402-II Sotea A/S

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere