April Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret
|
|
- Jacob Christiansen
- 5 år siden
- Visninger:
Transkript
1 April 2017 Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret 2016
2 It-chef Anders Lungholdt Informationssikkerhedskoordinator Jens Kjærulff Egedal Kommune Dronning Dagmars Vej Ølstykke 2. maj 2017 Formål Formålet med revisionen har været at vurdere, hvorvidt der er etableret forretningsgange og interne kontroller, som sikrer tilfredsstillende generelle it-kontroller. De generelle it-kontroller er fundamentet for automatiske applikationskontroller, regnskabsprocedurer og systemgenererede data og rapporter, som anvendes i nøglekontroller, og som påvirker den finansielle rapporteringsproces og årsrapporten. Denne rapport vedrører kun de forhold, der er nævnt nedenfor, og kan ikke udstrækkes til at omhandle kommunens forretningsprocesser og interne kontroller som helhed. Rapporten er udarbejdet udelukkende til ledelsen hos Egedal Kommune og må ikke anvendes af eller videregives til tredjemand uden vores forudgående samtykke. Omfang Vi har foretaget gennemgang af, hvordan it-kontroller er tilrettelagt, og så vidt muligt hvordan disse kontroller er implementeret. Vi har endvidere foretaget test af it-kontroller via dataudtræk og gennemgang af modtaget dokumentation. Revisionen er foretaget i henhold til gældende revisionsstandarder og har omfattet følgende hovedområder: 1. It-politikker og organisation: Udvikling og implementering af it-strategi og sikkerhedspolitikker Identifikation og vurdering af it-risici It-medarbejdere Styring af outsourcing-/serviceleverandører 2. Drift af datacentre og netværk 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware 4. Adgangssikkerhed: Politikker og procedurer Beskyttelse af data og funktionsadskillelse 5. Anskaffelse, udvikling og vedligeholdelse af applikationssystemer. Vores arbejde, der er gennemført i perioden november 2016 til april 2017, har baseret sig på en opfølgning af tidligere års observationer og anbefalinger og ændringer foretaget i 2016 som har betydning for kommunens it-kontroller og disses implementering. Vores arbejde er baseret på interview med medarbejdere fra Center fra Administrativ Service, Digitalisering og Effektivisering, stikprøvevist test af procedurer for administration af adgang til Windows netværk, Prisme og SD-Løn samt i nødvendigt omfang gennemgang af foreliggende materiale. Kommunen anvender it-serviceudbydere for væsentlige systemer, hvorved en væsentlig del af gennemgangen af de generelle it-kontroller for disse systemer baseres på årlige revisionserklæringer fra it-serviceudbyderne. På tidspunktet for rapportens udarbejdelse har vi modtaget erklæringer fra PwC 2
3 Silkeborg Data vedrørende SD-Løn, Fujitsu A/S vedrørende Prisme og IT-Forsyningen I/S vedrørende 2016 men har ikke modtaget dokumentation for kommunens gennemgang heraf. Med virkning for 2014 har kommunen sammen med andre kommuner etableret et fælles itdriftssamarbejde, hvor it-driften er outsourcet i det fælles IT-Forsyningen I/S. Dette har bevirket, at en række it-funktioner nu varetages af IT-forsyningen I/S s medarbejdere i stedet for medarbejdere ansat hos kommunen. Overgangen fra intern it-drift hos den enkelte kommune til fælles itdrift i IT-Forsyningen I/S regi har efter vores opfattelse været en udfordring, som driftsselskabet fortsat arbejder på at få på plads. I revisionserklæringen for 2016 tages der i lighed med 2015 forbehold på en række områder, hvor kontrollerne ikke har været tilstrækkelige. Ved revisionen for 2016 er det oplyst, at IT-Forsyningen I/S sammen med ejer-kommunerne har arbejdet på at imødekomme hovedparten af de anførte forhold fra 2015 og flere områder er blevet udbedret i revisionserklæringen for Konklusion Det er vores vurdering, at det interne kontrolmiljø hos kommunen fortsat på enkelte væsentlige områder bør styrkes, før de generelle it-kontroller kan anses for fuldt ud tilstrækkelige og effektive. Særligt vedrørende de generelle it-kontroller hos IT-Forsyningen I/S bør kommunen fortsat have et øget fokus. Det fremgår af revisionserklæringen af 7. marts 2017 fra IT-Forsyningen I/S, at der tages forbehold på en række områder, hvor kontrollerne ikke har været tilstrækkelige. Dette omfatter bl.a.: manglende formelle procedurer for klassificering og registrering af aktiver opsætning af logs og overvågning ej afstemt med de deltagende kommuner opfølgning på logs er ikke funktionsadskilt manglende procedurer for sikring af identifikation og overholdelse af relevante bestemmelser, regulering og kontraktlige forpligtelser manglende kontrol som sikrer at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer IT-Forsyningen har ifølge det oplyste iværksat tiltag til udbedring heraf. De anførte forhold skal udbedres af IT-Forsyningen, men vi anbefaler at kommunen tager dialog herom for at sikre at relevant opfølgning bliver foretaget. En væsentlig del af informationssikkerhedsarbejdet er udarbejdelse og ajourføring af risikovurdering/konsekvensvurdering af kommunens it-systemer i samarbejde med systemejerne. Kommunen har arbejdet videre hermed i 2016, med udarbejdelse og godkendelse af overordnet informationssikkerhedspolitik, men pågår fortsat. Vi anbefaler fortsat, at risikovurderingen samt retningslinjer og procedurer ajourføres i forbindelse med det videre arbejde med styrkelse af processer og kontroller i IT-Forsyningen I/S og i kommunen. Ved vores gennemgang af brugerrettigheder i Prisme har vi fået oplyst, at der fortsat er brugere, der er tildelt adgang gennem rollerne Betroet og Regnskab, der tilsammen muliggør adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med at brugerne også har adgang til at foretage registreringer. Dette giver en risiko for, at medarbejdere utilsigtet eller tilsigtet kan ændre stamdata med risiko for at der sker misbrug af kommunens midler. Vi har ved revisionen fået oplyst, at kommunen ikke har etableret en kontrolprocedure herfor. Vi anbefaler, at kommunen sikrer, at der er etableret kontrol med ændring i kreditorstamdata enten gennem funktionsadskillelse eller gennem det etablerede ledelsestilsyn. PwC 3
4 På baggrund af den foretagne revision er det vores samlede vurdering, at de generelle it-kontroller hos Egedal Kommune er på et acceptabelt niveau (vurderet ud fra følgende skala: Ikketilfredsstillende, acceptabel, tilfredsstillende og meget tilfredsstillende). Vi har i forbindelse med vores revision givet anbefalinger til styrkelse af sikkerheden. I forhold til gennemgangen i 2015 er 9 anbefalinger blevet løst, mens vi ved gennemgangen har observeret ét nyt forhold, der efterfølgende er blevet løst. Vores konklusion er baseret på de observationer og anbefalinger, der er anført i det vedlagte skema. Anbefalingerne i bilag 1 kan opsummeres således: It-politikker og organisation Drift af datacentre og netværk Anskaffelse, ændringer og vedligeholdelse af systemsoftware Adgangssikkerhed Anskaffelse, udvikling og vedligeholdelse af applikationssystemer IT- Forsyningen I/S Prioritet 1 0 (0) 1 (1) 0 (0) 1 (3) 0 (0) 0 (1) 2 (5) Prioritet 2 1 (1) 2 (2) 0 (0) 1 (2) 0 (0) 0 (1) 4 (6) Prioritet 3 1 (1) 0 (0) 0 (0) 0 (3) 0 (0) 0 (1) 1 (5) I alt 2 (2) 3 (3) 0 (0) 2 (11) 0 (0) 0 (3) 7 (16) I alt Prioriteringerne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 1. Tal i () angiver antal anbefalinger i Observerede forhold, som vedrører IT-Forsyningen I/S s kontrolmiljø er i bilag 1 anført i særskilte afsnit IT-Forsyningen I/S for hvert område og er samlet opsummeret ovenfor i kolonnen IT- Forsyningen I/S. De væsentligste bemærkninger (prioritet 1) er følgende: Kontrolsvagheder vedrørende generelle it-kontroller hos IT-Forsyningen I/S. I Prisme har vi i 2014 observeret brugere, der er tildelt adgang gennem brugerrollerne Betroet og Regnskab, som tilsammen giver mulig adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med de også har adgang til at foretage registreringer. Vi har fået oplyst at forholdet er uændret i Prioritet 2 og 3 anbefalingerne angiver svagheder, som påvirker den interne kontrol og risikostyring, som der bør arbejdes med på længere sigt. Center for Administrativ Service, Digitalisering og Effektivisering har haft lejlighed til at gennemgå dette brev og medfølgende observationsskema, og Egedal Kommunes kommentarer er indarbejdet i observationsskemaet. Såfremt der måtte være kommentarer eller spørgsmål til ovennævnte, er I velkommen til at kontakte os. PwC 4
5 Vi vil gerne benytte lejligheden til at takke for et godt samarbejde i forbindelse med vores gennemgang. Med venlig hilsen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Møller Langvad Jesper Parsberg Madsen Rainer Petersen statsautoriseret revisor statsautoriseret revisor it-revisor PwC 5
6 Prioritet skal ses i forhold til det reviderede område og er defineret således: Prioritering 1. Væsentlig mangel Beskrivelse Dette er et alvorligt problem vedrørende intern kontrol, risikostyring eller rapportering, som kan medføre a. betydelige fejloplysninger i regnskab / bogføring som følge af væsentlige fejl eller mangler og / eller b. overtrædelse af gældende love, regler og retningslinjer. Bør omgående vurderes af ledelsen og eventuelt på bestyrelsesniveau. 2. Betydelig svaghed Dette er et problem vedrørende intern kontrol, risikostyring eller rapportering, som kan føre til a. unøjagtigheder i regnskab/bogføring b. mangel på kontrol i den reviderede organisatoriske enhed eller proces; og / eller c. overtrædelse af gældende love, regler og retningslinjer. Bør behandles af ledelsen inden for rimelig tid. 3. Svaghed Dette er et problem vedrørende intern kontrol eller risikostyring, hvis løsning vil føre til: a. forbedring af kvaliteten og / eller effektiviteten af det reviderede område. PwC 0
7 Bilag 1 Anbefalinger vedrørende revision af generelle it-kontroller Nr. Prio. Observation Risiko Anbefaling er 1. Politikker, organisation m.m Ref: A Informationssikkerhedspolitikkens struktur Under gennemgang af ledelsens informationssikkerhedspolitik mv. har vi observeret, at der er udarbejdet en informationssikkerhedspolitik (politik), som omfatter de væsentligste områder vedrørende informationssikkerhed. Det er vores vurdering, at omfanget generelt er dækkende for informationssikkerheden i kommunen. Vi har overordnet gennemgået det modtagne materiale og har følgende bemærkninger: 1. Politikkens hoveddokument Itsikkerhedspolitik indeholder både målsætninger, krav og as is - beskrivelser. Nogle på et meget teknisk detaljeret niveau og andre på meget overordnet niveau. 2. De offentlige bilag beskriver en række retningslinjer, herunder også gode konkrete risikovurderinger på en række forretningsmæssige områder for kommunens applikationer. Dokumentet indeholder imidlertid ikke en risikovurdering af infrastrukturkomponenter, som må siges at spille en væsentlig rolle Manglende ajourføring af informationssikkerhedspolitikkens struktur og indhold giver risiko for, at sikkerhedspolitikken og underliggende retningslinjer ikke afspejler de krav og forventninger som ledelsen har til kommunens overholdelse heraf. Manglende risikovurdering af risici ved kommunens itanvendelse, særligt efter at itdriften outsourcet til IT- Forsyningen, kan betyde, at risici ikke er synliggjort og at der er risici ved kommunens itanvendelse, der ikke i tilstrækkeligt omfang er afdækket til et niveau, som ledelsen kan acceptere. Vi anbefaler, at det overvejes at omstrukturere politikken, således at den niveauopdeles efter detaljeringsgrad, og at der målrettes til modtager efter nedenstående principper. Vi anbefaler, at politikken opbygges således: 1. Overordnet politik Kommunens overordnede politik i forhold til sikkerhedsniveauet i forbindelse med behandling, transport og lagring af systemer og data. En beskrivelse af den ønskede sikkerhedsstyring, placering af sikkerhedsansvaret i organisationen, krav til leverandører, kunder og andre eksterne samarbejdspartnere samt lovgivning mv. 2. Retningslinjer Den overordnede politik uddybes i målrettede selvstændige retningslinjer, som kan anvendes direkte til en specifik målgruppe. Disse retningslinjer kan være offentlige som f.eks. Pixi-bogen, der er rettet mod medarbejderne i 2010 Ovenstående anbefalinger vil indgå som et ændringsønske - senest når direktionen finder tiden moden til at foretage en revision og omstrukturering af den nuværende sikkerhedspolitik, vedtaget i Forinden vil It-centeret i dialog med revisionen foretage en konkretisering af ændringsønsket i forhold til opgavens omfang og organisationens medinddragelse, herunder et estimat af medgået tid og omkostninger set i forhold til nytteværdi Der afventes i Egedal Kommune en afklaring af hvor ansvaret for sikkerhedspolitikken er funderet efter organisationsændringerne i Egedal Kommune. Indtil da udføres der opfølgning på sikkerhedspolitikkens nuværende formu- PwC 1
8 Nr. Prio. Observation Risiko Anbefaling er i vurderingen af konsekvenser. Ligeledes mangler der en stillingtagen til risici ved uautoriseret adgang til systemer og data (f.eks. datamanipulation, datadestruktion eller lignende). 3. Det ikke-offentlige bilag synes at være en driftshåndbog vedrørende udvalgte væsentlige områder som eksempelvis backup og restore, og ikke en decideret instruks til politikken. Materialet indeholder samtidig en driftsmæssig risikovurdering, der ikke tydeligt beskriver handlingsplaner. 4. Dokumenterne mangler generelt en header med dokumentinformation/journalinformation. Status 2012: Området er uændret pga. igangværende organisationsændringer. Status 2013: Status er ifølge det oplyste uændret som følge af, at der arbejdes på et driftssamarbejde mellem flere kommuner med virkning fra 1/ Status 2014: Vi har ved gennemgangen fået oplyst, at kommunen i efteråret 2013 har ændret retningslinjer samt etableret procedurer for ledelsestilsyn i forbindelse med implementering af nyt personale og økonomisystem. Ifølge det oplyste er den overordnede itsikkerhedspolitik og informationssikkommunen, eller de kan være interne som f.eks. retningslinjer for sikkerhed i infrastrukturen på Windows AD eller baselines til serveropsætning. Ligeledes anbefaler vi, at der i de formelle kontrakter med eksterne samarbejdspartnere tilføjes et afsnit, som beskriver retningslinjer og ansvar for sikkerhed i forbindelse med f.eks. driftsopgaver. 3. Politikkens ikrafttræden, gyldighed og omfang samt godkendelse og krav til opfølgning: Politikkens dokumenter forsynes med en journal-header, (godkendelsesdato, versionsnummer, ændrings-log og ændret af, godkendt af mv.). lering af it-afdelingen under Center for ejendomme og intern service. Den ny ansvarlige afdeling vil blive bedt om at tage fat i pkt. A1 s anbefalinger Kommentar ikke modtaget 2014 Egedal Kommune er i gang med en transaktion fra DS484 til ISO27001 og 002, hvoraf vi forventer en fuld operationel Informationssikkerhedspolitik med tilhørende regelsæt og beskrevne procedurer. Informationssikkerhedspolitikken forventes at ligge færdig 3. kvartal 2015 hvor efter den skal godkendes i Byrådet Den overordnede politik forventes godkendt ultimo Sikkerhedshåndbog og procedurebeskrivelser har afventet formel godkendelse af PwC 2
9 Nr. Prio. Observation Risiko Anbefaling er kerhedspolitikkens struktur dog uændret. Status marts 2015: Vi har ved gennemgangen fået oplyst, at den overordnede itsikkerhedspolitik og informationssikkerhedspolitikkens struktur er uændret. Egedal har for et år siden udarbejdet et internt notat, hvor en række udfordringer vedrørende sikkerhedspolitik og organisering og styring af sikkerhedsarbejdet er identificeret. Arbejdet med at styrke dette er ifølge det oplyste prioriteret med ansættelsen af en ny digitaliseringschef primo Status januar 2016: Vi har ved gennemgangen fået oplyst, at den overordnede itsikkerhedspolitik og informationssikkerhedspolitikkens struktur endnu er uændret. Vi er dog blevet oplyst, at der arbejdes på at udarbejde en ny informationssikkerhedspolitik, hvilket forventes færdig ultimo anden kvartal Status januar 2017: Vi har ved revisionen gennemgået ny overordnet informationssikkerhedspolitik for Egedal Kommune, der er godkendt af byrådet i november Der udestår dog fortsat en udmøntning af informationssikkerhedspolitikken i Informationssikkerhedspolitikken hvilket skete november Som led i implementeringsplanen for ISO vil Sikkerhedshåndbog være opdateret medio PwC 3
10 Nr. Prio. Observation Risiko Anbefaling er ajourførte retningslinjer og procedurer der fortsat er uændret i sin udformning fra før IT-Forsyningen. I den godkendte informationssikkerhedspolitik er dog fastlagt krav om, at retningslinjer og procedurer for systemer og håndtering af informationer minimum gennemgås én gang årligt af systemejerne. Vi anser fortsat punktet for åbent SD-Løn Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn konstateret, at der etableret procedurer for administration af adgang til informationssystemer og tjenester hos JN Data. Silkeborg Data har valgt at outsource driften af it-platform til Jyske Bank, der benytter JN Data som underleverandør. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester bl.a. omfattende: Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data øger risikoen for, at uvedkommende kan opnå uautoriseret adgang til systemer og data, der relaterer sig til Egedal Kommunes anvendelse af Silkeborg Løn. Vi anbefaler, at der rettes henvendelse til Silkeborg Data med henblik på, at få rettet op på de konstaterede svagheder i de etablerede procedurer Vi er enige i observationen. Personaleafdelingen vil anmode Silkeborg Data om at stramme op på svaghederne i de etablerede procedurer i henhold til revisionspunktet ved næstkommende møde. Personaleafdelingen vil i denne forbindelse efterspørge en løsning og tidshorisont for procedurerne Den blev der afholdt statusmøde med SD og problemerne er blev nævnt overfor SD. Vi har ikke modtaget svar fra SD om løsning og tidshorisont. Den bliver der afholdt statusmøde med SD, hvor PwC 4
11 Nr. Prio. Observation Risiko Anbefaling er Registrering af bruger hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse og tildeling af administrative rettigheder. Udvidede adgangsrettigheder hos JN Data: For flere af de reviderede operativsystemer og database er det konstateret, at der er tildelt privilegerede adgangsrettigheder, der ikke vurderes at være begrundet i et arbejdsbetinget behov. Periodisk gennemgang af brugerenes rettigheder hos JN Data: På nogle områder er det konstateret behov for styrkelse af processen for regelmæssig gennemgang af brugernes adgangsrettigheder. Styring af adgangskoder JN Data: For nogle operativsystemer og databaser mv. er der konstateret afvigelser vedrørende krav til kompleksitet og passwordlængde. Status marts 2016: Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn for perioden 1. januar 31. december 2015 konstateret, at enkelte af de ovennævnte forhold er udbedret. Serviceleverandørens revisor har ved gennemgangen af de generelle itproblemerne bliver nævnt. Vi vil efterspørge en løsning og en tidshorisont Egedal Kommune er meget opmærksomme på procedure for tildeling af administrative rettigheder i SD- Løn, såvel som andre forretningskritiske systemer. Vi forventer at proceduren er dokumenteret og begrundet medio Til oreintering er Silkeborg Data blevet kontaktet omkring disse adgange. Pr. 27/ har vi ikke modtaget noget svar endnu. PwC 5
12 Nr. Prio. Observation Risiko Anbefaling er kontroller for JN-Data, konstateret forsat behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester vedrørende: Udvidede adgangsrettigheder hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse af tildeling af administrative rettigheder. På visse områder er det konstateret, at der er tildelt adgangsrettigheder, der ikke er betinget af et arbejdsbetinget behov. Status februar 2017 Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn for perioden 1. januar 31. december 2016 (version 2) konstateret, at ovennævnte forhold delvist er udbedret. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret forsat behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester vedrørende: Udvidede adgangsrettigheder hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse af tildeling af admini- PwC 6
13 Nr. Prio. Observation Risiko Anbefaling er strative rettigheder. Svagheden er udbedret primo december Der er på platformene Citrix, RACF og SQL oprettet administrative brugere, som ikke har et arbejdsbetinget behov for adgangen. Vi anser fortsat punktet for åbent. 2. Drift af datacentre og netværk Ref: C Manglende beredskabsplan Under gennemgang af beredskab og nødplaner har vi observeret, at der ikke eksisterer en formaliseret og testet beredskabsplan. Der er beskrevet en forretningsmæssig stillingtagen til risici, og der er etableret serviceaftaler, men en operationel beredskabsplan er ikke udarbejdet. Status 2012: Området er under udarbejdelse. Der er dog endnu ikke udarbejdet en egentlig it-beredskabsplan og nødplaner. Status 2013: Status er ifølge det oplyste uændret. Udarbejdelse af it-beredskabsplan og nødplaner forventes prioriteret og igangsat i forbindelse med det fælles driftsselskab i Status 2014: Status er ifølge det oplyste uændret. Udarbejdelse af it-beredskabsplan og Manglende beredskabsplan og test heraf skaber risiko for, at it-anvendelsen ikke kan genetableres inden for rimelig tid i forbindelse med omfattende skader på it-systemerne. Dette kan få væsentlig betydning for kommunens adgang til systemer og data. Vi anbefaler, at der ud fra en risikoanalyse etableres og på realistisk vis afprøves en beredskabsplan for itanvendelsen, således at tilgængeligheden til it-systemerne tilgodeses mest muligt. Planen bør opbevares på et sikkerhedsmæssigt forsvarligt sted og være tilgængelig for alle nøglepersoner i krisesituationer. Planen bør indeholde: 1. En organisatorisk nødplan, der beskriver, hvilke roller (handlinger) der skal udføres i en katastrofesituation, samt navngiver de personer, der har ansvaret for de enkelte roller (interne og eksterne). 2. En disaster recovery-plan, der beskriver, hvorledes kommunen vil udføre den tekniske reetablering af it-anvendelsen. Disaster recovery-planen bør indeholde en prioriteret liste over, hvilke sy Anbefalingerne tages til efterretning. Arbejdet omkring beredskabsplaner vil blive drøftet med og tilpasset Beredskabscentrets øvrige nødplaner, så Itforsyningen har sammenhæng med øvrig forsyningsvirksomhed, hvor kommunen har udarbejdet nødplaner for. It-centeret vil optage emnet som prioriteret indsatsområde i års- og udviklingsplanen for Arbejdet forventes prioriteret og igangsat i løbet af 2012/2013. PwC 7
14 Nr. Prio. Observation Risiko Anbefaling er nødplaner forventes fortsat prioriteret og igangsat i forbindelse med det fælles driftsselskab i Status marts 2015: Status er ifølge det oplyste uændret. Vi har fået oplyst, at kommunen vil prioritere arbejdet med deres procedurer i forhold til beredskabet i løbet af Under vores gennemgang af itkontroller hos IT-Forsyningen I/S vedrørende Egedal Kommune, har vi observeret, at der udarbejdet en beredskabsplan, dateret 29. december Planen har således ikke været effektiv for Status januar 2016: Status er ifølge det oplyste uændret. Vi har ved gennemgang fået oplyst at udarbejdelse af it-beredskabsplan og nødplaner forventes færdig i forlængelse af det forestående arbejde med ny informationssikkerhedspolitik ultimo anden kvartal Status februar 2017: Vi har fået oplyst, at Egedal har igangsat en handleplan for udarbejdelse af risikoanalyser og organisatorisk nødplan. Arbejdet med beredskabsplaner er ikke på plads endnu. Vi anser fortsat punktet for åbent. stemer der vurderes mest kritiske for kommunen (er udarbejdet), samt en beskrivelse af hvorledes de enkelte aktiver er indbyrdes afhængige (f.eks. interfaces, infrastruktur mv.). 3. En forretningsmæssig nødplan, der beskriver, hvorledes og i hvilket omfang det er muligt at videreføre de daglige forretningsgange i den periode, hvor kommunens it ikke er tilgængelig Kommentar ikke modtaget 2014 Egedal Kommune har en kommunikationsplan for IT- Beredskabet. Informationssikkerhedspolitikken ud fra ISO27001, vil indeholde en fuldt udbygget og gennemtestet beredskabsplan, herunder tidsplaner for gentest ud fra forskellige senarier Det findes en midlertidig beredskabsplan, som bliver afløst af en ny beredskabsplan jf. status på informationssikkerhedspolitik (pkt ) 2016 Det er korrekt, at der ikke er et samlet overblik over eksisterende beredskabsplaner for kritiske systemer. På baggrund af en beredskabstest ultimo 2016 på området Social omsorg kunne det konstateres, at der reelt er instrukser der adresserer systemnedbrud. Egedal Kommune har igangsat en gennemgang af øvrige eksi- PwC 8
15 Nr. Prio. Observation Risiko Anbefaling er sterende beredskabsplaner med henblik på en opdatering af beredskabsplaner for de enkelte systemer såvel som etablering af en generisk plan. Derudover er det besluttet, at risikovurderinger skal gennemføres som en fast årlig aktivitet. PwC 9
16 Nr. Prio. Observation Risiko Anbefaling er Ref: C Generelt: Logning og opfølgning på hændelser Under gennemgang af logning har vi observeret, at logningsniveauet på Windows AD er tilstrækkeligt. Vi har imidlertid fået oplyst, at der ikke foretages regelmæssig vurdering af log-data. Status 2012: Status på området, er ved at blive undersøgt af kommunen. Status 2013: Status er ifølge det oplyste uændret. Det forventes at en løsning i det fælles selskab vil blive implementeret i Status 2014: Status er ifølge det oplyste uændret. Det forventes stadigvæk, at en løsning i det fælles selskab vil blive implementeret i Status marts 2015: Under gennemgangen har vi fået oplyst, at IT-Forsyningen har opgaven med at overvåge driften herunder gennemgå logning. Det er oplyst, at der p.t. ikke er fastlagt en SLA herfor. Under gennemgang af procedurerne hos IT-Forsyningen har vi fået oplyst, at der løbende sker overvågning af driften og opfølgning på driftshændelser. Ved vores gennemgang af logningsniveauet på Windows AD har vi dog ob- Utilstrækkelig logning af hændelser på Windows AD medfører risiko for, at hændelser og uautoriserede handlinger på systemerne ikke opdages rettidigt. Vi anbefaler, at log-data gennemgås regelmæssigt, f.eks. ved anvendelse af konsolideret logning og analyseværktøjer, som kan sende alarmer vedrørende foruddefinerede hændelser, der bør undersøges nærmere. Ligeledes anbefaler vi, at der etableres en central log-server, hvor de respektive logs kan opbevares, således at adgang kun er mulig for udvalgte personer. Anbefaling marts 2015: Endvidere anbefaler vi, at der fastsættes krav til logning, således at Audit Process Creation, Directory Service Changes, Sensitive Privilege Use samt Logon og Logoff sættes til at logge både Success og Failure. Anbefalingen følges. Itcenteret vil, inden en løsning idriftsættes, foretage en vurdering af metode og værktøj, således at dataindsamling, hændelsesgennemgang og rapportering kan ske med størst mulig automatik og effektivitet og med mindst mulig ressourceindsats. Løsningen forventes implementeret inden udgangen af Arbejdet blev ikke gennemført i 2011 og vil derfor blive opprioriteret i Kommentar ikke modtaget 2014 Egedal Kommune og IT- Forsyningen er pt. i gang med at udvikle en generel SLA. Egedal Kommune er under afklaring af, om vi skal stilles krav til IT- Forsyningen om, at de skal etablere en fælleslog-server samt opstille procedure for gennemgang af logs i for- PwC 10
17 Nr. Prio. Observation Risiko Anbefaling er serveret, at logningen flere steder er utilstrækkelig i forhold til god praksis. Dette gælder lognings indstillingerne: Audit Process Creation, Directory Service Changes, Sensitive Privilege Use samt Logon og Logoff, hvor der enten ikke logges eller alene logges ved succes. Status marts 2016: Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S observeret, at serviceorganisationens revisor har givet forbehold i erklæringen vedrørende området 12.4 Logning og overvågning, jf. observation Endvidere har vi ved vores gennemgang af logningsniveauet på Windows AD observeret, at logningen flere steder er utilstrækkelig i forhold til god praksis. Dette gælder logningsindstillingerne: Process Creation, Directory Service Changes, Logon, Other Logon/Logoff Events, Special Logon, Audit Policy Change og Sensitive Privilege Use, hvor der enten ikke logges eller alene logges ved succes. Status januar 2017 Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til bindelse med opståede hændelser. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling Status er uændret. Egedal kan stille krav til IT- Forsyningen, om at der opstilles en logningsserver i samspil med øvrige kommuner. Kan ske i regi af itsamarbejdskredsen Egedal Kommune har overfor IT-forsyningen konkretiseret ønsket niveau for logning baseret på anbefalinger fra PWC. Der udestår en implementering, og vi afventer pt. en implementeringsplan fra IT-forsyningen I/S PwC 11
18 Nr. Prio. Observation Risiko Anbefaling er for IT-Forsyningen I/S observeret, at serviceorganisationens revisor har givet forbehold i erklæringen vedrørende området 12.4 Logning og overvågning, jf. observation Endvidere har vi ved vores gennemgang af logningsniveauet på Windows AD observeret, at logningen flere steder er utilstrækkelig i forhold til god praksis og logningsniveauet er reduceret sammenlignet med Dette gælder logningsindstillingerne: Credential Validation, Kerberos Authentication Service, Kerberos Service Ticket Operations, Other Account Logon Events, Process Creation, Directory Service Changes, Logon, Other Logon/Logoff Events, Special Logon, Audit Policy Change, Authentication Policy Change, Sensitive Privilege Use, Security State Change, Security System Extension og System Integrity, hvor der enten ikke logges eller alene logges ved succes. Vi har fået oplyst, at kommunen er gået i gang med at undersøge mulighederne for at implementere det anbefalede logningsniveau. Vi anser fortsat punktet for åbent Kontrolsvagheder vedrørende generelle it-kontroller hos IT- Forsyningen I/S Vi har ved gennemgang af modtaget Generelle kontrolsvagheder vedrørende generelle itkontroller hos IT-Forsyningen I/S vedrørende drift og vedligeholdelse af infrastruktur, Vi anbefaler, at kommunen sammen med de øvrige ejerkommuner og IT- Forsyningen I/S igangsætter initiativer, for at imødegå de konstaterede svagheder i de konstaterede kontrol Anbefalingen vil i lighed med den samlede revisions- PwC 12
19 Nr. Prio. Observation Risiko Anbefaling er ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S i tilknytning til teknisk drift af infrastruktur, servere, databaser, datalager m.m. af systemer som kommunen ikke har outsourcet til andre serviceleverandører, konstateret, at der på de fleste kontrolområder er etableret procedurer og kontroller vedrørende it-sikkerhed, drift og vedligeholdelse af disse systemer. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S konstateret behov for styrkelse af kontroller for følgende kontrolområder, hvor de etablerede kontroller ikke er tiltrækkeligt effektive til at sikre opfyldelsen af de beskrevne kontrolmål, hvorfor der er afgivet erklæring med forbehold: Område 5.1 Retningslinjer for styring af informationssikkerhed: At levere midler til styring af og støtte for it-sikkerhed i overensstemmelse med forretningens krav og med relevante bestemmelser. Område 8.2 Klassifikation af information: At sikre passende beskyttelse af information, der står i forhold til informationens betydservere, databaser, datalager m.m. for systemer som er outsourcet til IT-forsyningen I/S øger risikoen for, kommunens krav til it-sikkerhed for anvendte systemer ikke efterleves, herunder at uvedkommende kan opnå uautoriseret adgang til systemer og data, der relaterer sig til Egedal Kommune. ler og kontrolområder. rapport vendes i samarbejde med IT-Forsyningen med henblik på at finde fælles overenskomst om velegnede løsninger på området Egedal Kommune noterer at IT-forsyningen på de fleste kontrolområder har etableret procedurer og kontroller vedrørende it-sikkerhed, drift og vedligeholdelse af systemer. Hvad angår de resterende kontrolsvagheder, er det forventningen at dette bringes på plads i indeværende år. PwC 13
20 Nr. Prio. Observation Risiko Anbefaling er ning for organisationen. Område 12.4 Logning og overvågning: At registrere hændelser og tilvejebringe bevis. Område 12.5 Styring af driftssoftware: At sikre integriteten af driftssystemer (ok fra oktober 2015 og frem). Område 18.2 Gennemgang af informationssikkerhed: At sikre, at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S endvidere konstateret behov for styrkelse af it-kontroller på andre områder, herunder: Politik for adgangsstyring (9.1.1): Det er konstateret, at der ikke er udarbejdet en politik for adgangsstyring, som har været godkendt af ledelsen i hele revisionsperioden. Brugerregistrering og afmelding (9.2.1): Der er konstateret, at der ikke er udarbejdet en formel procedure i forbindelse med brugerregistrering og afmelding. Det er dog konstateret, at alle brugerre- PwC 14
21 Nr. Prio. Observation Risiko Anbefaling er gistreringer og afmeldinger håndteres via Service-Desk- Systemet. Begrænset adgang til informationer (9.4.1) samt procedure for sikker logon (9.4.2): Det er konstateret, at der ikke er en fast dokumenteret proces til at sikre en ensartet eller specifik opsætning af servere og platforme, herunder password. Der er yderligere konstateret, at passwordkonfigurationen på kommunernes domains ikke i alle henseender er opsat efter normal best practice eller i overensstemmelse med IT- Forsyningens passwordpolitik. Fysisk adgangskontrol (11.1.2): Det er konstateret, at ejerkommunerne Ballerup og Værløse varetager oprettelsen og nedlæggelsen af adgange til serverrum på trods af, at IT-Forsyningen I/S har ansvaret for at sikre, at kun medarbejdere med godkendt arbejdsbetinget behov får adgang til serverrummene. Ejerkommunerne kan derved oprette og nedlægge brugeradgang løbende uden IT- Forsyningen er bekendt hermed. Netværksstyring (12.6.1): Det er konstateret at der ikke periodisk foretages scanninger af netværket, med henblik på at sikre, at der ik- PwC 15
22 Nr. Prio. Observation Risiko Anbefaling er ke er såbarheder. Sikring af netværkstjenester (13.1.2): Det er konstateret, at der ikke er udarbejdet serviceaftaler vedrørende driften af netværk for kommunerne samt for IT- Forsyningens eget netværk, indeholdende bl.a. stillingtagen til sikkerhedsforanstaltninger, SLA og ansvarsplacering. Verificer, gennemgå og evaluer informationssikkerhedskontinuiteten (17.1.3): Det er konstateret, at der er foretaget test af kommunikationskanaler i tilfælde af en beredsskabssituation. Der har dog ikke været foretaget yderligere skrivebordstest af beredskabsplanen. Status april 2017 Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S i tilknytning til teknisk drift af infrastruktur, servere, databaser, datalager m.m. af systemer som kommunen ikke har outsourcet til andre serviceleverandører, konstateret, at der på de fleste kontrolområder er etableret procedurer og kontroller vedrørende it-sikkerhed, drift og vedligeholdelse af disse systemer. PwC 16
23 Nr. Prio. Observation Risiko Anbefaling er Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S konstateret behov for styrkelse af kontroller for følgende kontrolområder, hvor de etablerede kontroller ikke er tiltrækkeligt effektive til at sikre opfyldelsen af de beskrevne kontrolmål, hvorfor der er afgivet erklæring med forbehold: Område 8.2 Klassifikation af information: At sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. Område 12.4 Logning og overvågning: At registrere hændelser og tilvejebringe bevis. Område 12.6 Styring af driftssoftware: At forhindre, at tekniske sårbarheder udnyttes. Område 18.1 Overensstemmelse med log- og kontraktkrav: At forhindre overtrådelse af lov-, myndigheds- eller kontraktkrav i relation til informationssikkerhed og andre sikkerhedskrav. Område 18.2 Gennemgang af informationssikkerhed: At sikre, at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer. PwC 17
24 Nr. Prio. Observation Risiko Anbefaling er Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S endvidere konstateret behov for styrkelse af it-kontroller på andre områder, herunder: Procedurer for sikker logon (9.4.2): Det er konstateret, at passwordkonfigurationen på kommunernes domains ikke i alle henseender er opsat efter normal best practice eller i overensstemmelse med IT-Forsyningens passwordpolitik. Fysisk adgangskontrol (11.1.2): Det er konstateret, at ejerkommunerne Ballerup og Værløse varetager oprettelsen og nedlæggelsen af adgange til serverrum på trods af, at IT-Forsyningen I/S har ansvaret for at sikre, at kun medarbejdere med godkendt arbejdsbetinget behov får adgang til serverrummene. Ejerkommunerne kan derved oprette og nedlægge brugeradgang løbende uden IT- Forsyningen er bekendt hermed. Dokumenterede driftsprocedurer (12.1.1): Det er konstateret, at der ikke er overvågning af netværket for Furesø Kommune. Sikring af netværkstjenester (13.1.2): Det er konstateret, at der ikke er udarbejdet serviceaftaler PwC 18
25 Nr. Prio. Observation Risiko Anbefaling er vedrørende driften af netværk for kommunerne samt for IT- Forsyningens eget netværk, indeholdende bl.a. stillingtagen til sikkerhedsforanstaltninger, SLA og ansvarsplacering. 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware Ingen bemærkninger. 4. Adgangssikkerhed Ref: D Generelt: Opfølgning på brugeradministration Under gennemgang af brugeradministration generelt og opfølgning herpå har vi observeret, at der er udarbejdet procedurer for brugeradministration, og at denne skal sikre godkendelser af brugeroprettelser på de væsentligste applikationer i kommunen. Der er derimod endnu ikke implementeret en kontrol, som skal følge op på, om procedurerne reelt efterleves. Vi har i forbindelse med vores gennemgang af området fået oplyst, at implementeringen af kontrollen lader vente lidt på sig af hensyn til ressourceprioriteringer. Status 2012: Området er uændret. Status 2013: Status er ifølge det oplyste uændret. Mangelfuld overholdelse af kommunens procedure for nedlæggelse af brugeradgang til kommunens systemer og data medfører risiko for at brugeradgangen ikke spærres / slettes rettigdigt i forbindelse med medarbejderens fratrædelse, hvilket medfører øget risiko for uautoriseret adgang til væsentlige systemer og data. Vi anbefaler, at etableringen af denne kontrol prioriteres, således at systemejerne kan få et reelt grundlag at foretage oprydning og godkendelse på, på regelmæssig basis. Marts 2015 Vi anbefaler endvidere, at kommunen indskærper over for de ansvarlige ledere, at informere de relevante systemejere om medarbejdernes fratrædelse eller alternativt etablerer en fælles indgang til indberetning heraf Anbefalingen følges. Arbejdet med en ensartet tilgang til brugeradministration og kontrolprocedurer vil blive igangsat i efteråret 2011 i forbindelse med opstart af Itsikkerhedskoordinatorgruppens arbejde Punktet er fortsat åbent da der ultimo indføres nyt personale og økonomisystem. Ved denne implementering sker der en decentralisering som har indflydelse på den interne revision. Der vil i 2013 blive udarbejdet en ny intern revisionsprocedure. PwC 19
26 Nr. Prio. Observation Risiko Anbefaling er Revideret procedure vil blive implementeret i forbindelse med nyt økonomisystem & lønsystem i foråret Status 2014: Det er oplyst, at procedurer for brugeradministration og tildeling af systemadgange er ajourført i forbindelse med implementering af nyt personale og økonomisystem, Prisme. Endvidere er der i efteråret 2013 implementeret procedurer for ledelsestilsyn. Vi har gennemgået procedurer for ledelsestilsyn pr. oktober 2013 og observeret, at tilsynet ikke vedrører brugeradgang til systemer, men omfatter andre forhold omkring personale og økonomi. Det er oplyst, at procedure for kontrol af Prismebrugere og deres tildelte rettigheder er under udarbejdelse. Status marts 2015: I forbindelse med test af kommunens procedurer for brugeradministration for brugeradgang til Windows, Prisme og SD-løn, har vi observeret, at procedurerne for spærring / nedlæggelse af brugerkonti ved fratrædelse, ikke følges konsekvent. Der er således fortsat ikke etableret en effektiv kontrol, der sikrer at procedurerne efterleves. Ved gennemgangen har vi observeret 12 tilfælde ud 25 fratrådte medarbejdere, hvor der ikke foreligger dokumentation fra lederen om, at vedkommende fratræder og adgang til systemer og 2013 Kommentar ikke modtaget 2014 Vi er enige i observationen. Vi vil fra økonomiafdelingen indskærpe proceduren om brugeradministration over for de ansvarlige ledere i Egedal kommune. Egedal Kommune er i samarbejde med Ballerup og Furesø Kommuner ved at etablere en føderationsløsning til sikring af den aktuelle problematik. Se endvidere pkt Se ovenfor. PwC 20
27 Nr. Prio. Observation Risiko Anbefaling er data skal spærres. Særligt for adgang til Windows netværket har vi observeret, at brugerkontiene fortsat er aktive, da der ikke forligger en nedlæggelsessag hos IT- Forsyningen I/S herom. Vedrørende Prisme har vi observeret, at medarbejderne i Center for Økonomi og Finans generelt er opmærksomme på fratrådte medarbejdere og at adgang til Prisme i de fleste tilfælde er spærret, undtagen i to tilfælde, hvor adgangen fortsat er aktiv. Status april 2016: I forbindelse med test af kommunens procedurer for brugeradministration for brugeradgang til Windows, Prisme og SD-løn, har vi observeret, at procedurerne for spærring / nedlæggelse af brugerkonti ved fratrædelse, fortsat ikke følges konsekvent. Der er således fortsat ikke etableret en effektiv kontrol, der sikrer at procedurerne efterleves. Dette gælder særligt for Windows netværket, hvor vi ved gennemgang har observeret 42 brugerkonti, der fortsat var aktive trods fratrædelse. Vedrørende Prisme har vi observeret, at adgang til Prisme i de fleste tilfælde er spærret, undtagen i fire tilfælde, hvor adgangen fortsat er aktiv. Status januar 2017: Vi har fået oplyst, at Egedal Kommune PwC 21
28 Nr. Prio. Observation Risiko Anbefaling er har igangsat arbejde med at tydeliggøre onborading og off-boarding processen, hvorved forholdene p.t. er uændrede. I forbindelse med vores test af kommunens procedurer for brugeradministration, har vi konstateret to brugerkonti i Windows og Prisme der fortsat var aktive trods fratrædelse. Vi har efterfølgende fået oplyst, at de er disabled i Windows. Vi vil følge op herpå i forbindelse med revisionen Punktet lukkes Ref: D Prisme: Adgang til stamdata vedrørende kreditorer Under gennemgang af udvalgte brugerroller i Prisme har vi observeret brugere, der er tildelt adgang gennem brugerrollerne Betroet og Regnskab, som tilsammen giver mulig adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med de også har adgang til at foretage registreringer. Efter det oplyste har kommunen ikke etableret kontrol med ændring af stamdata. Status marts 2015: Status er ifølge det oplyste uændret. Status januar 2016: Kommunens indførte ledelsestilsyn retter sig ikke specifikt mod kontrol med stamdata, hvorved der er risiko for, at medarbejdere utilsigtet eller tilsigtet kan ændre stamdata med risiko for at der sker misbrug af kommunens midler. Vi anbefaler, at kommunen styrker kontrollen med ændring af stamdata, særligt vedrørende kreditorer enten gennem etablering af systemmæssig funktionsadskillelse i Prisme således at medarbejdere, der er bemyndiget til at oprette / ændre stamdata ikke samtidigt kan foretage registreringer eller at ændringer i udvalgte kreditorstamdata systemmæssigt registreres i en log, der gennemgås periodisk af betroet personale eventuelt gennem det etablerede ledelsestilsyn Vi er enige i observationen. Økonomiafdelingen vil foretage en gennemgang af brugerrollerne Betroet og Regnskab for en tilpasning af rollerne på kreditor siden. Herudover vil økonomiafdelingen etablere en kontrol af dem der har adgang til brugerrollerne Betroet og Regnskab der sikre at der ikke foretages utilsigtet eller tilsigtet ændringer eller registreringer i kreditorerne PwC 22
29 Nr. Prio. Observation Risiko Anbefaling er Status er ifølge det oplyste uændret. Vi har ved gennemgang fået oplyst, at en styrket kontrol med adgang til stamdata forventes implementeret i forlængelse af det forestående arbejde med ny informationssikkerhedspolitik ultimo anden kvartal Status januar 2017: Ved gennemgang af brugerroller i Prisme observeret brugere, der fortsat har adgang til brugerrollerne Betroet og Regnskab. Kommunen oplyser, at der p.t. ikke er etableret en kontrolprocedure. Vi anser fortsat punktet for åbent. Økonomiafdelingen foranlediger at der opsættes kontrolprocedure for ændringer af stamdata på kreditorer i Det er korrekt, at procedure for manuelt tildelte adgange fortsat ikke er dokumenteret og underkastet kontrol. Dette udestående vil bringes på plads med udgangen af maj 2017, hvor vi planlægger at udarbejde en kontrolprocedure med angivelse af frekvens og omfang. Team Regnskab planlægger en fast kontrol af alle manuelt tildelte adgange, incl. "Betroet" og "Regnskab". Ændringer af alle brugere med adgang til af ændre kreditoroplysninger skal ligeledes løbende kontrolleres Ref: D Windows AD: Manglende skift af password Under gennemgang af Windows AD har vi observeret, at 118 bruger-id (hvor password er sat til, at det kan skiftes) ikke har påtvunget passwordskift i henhold til den implementerede passwordpolitik. Af vores udtræk fremgår det, at der eksisterer en del personlige bruger-id, Der er risiko for, at password bliver kendt af uvedkommende i forbindelse med systemkompromittering, afluring, bevidst eller ubevidst videregivelse eller lignende. Vi anbefaler, at alle password skiftes regelmæssigt i henhold til kravene i sikkerhedspolitikken, herunder især for medarbejdere der har udvidede rettigheder eller adgang til kritisk eller fortrolige informationer. Der bør regelmæssigt foretages en opfølgning på, om retningslinjer efterleves. De programmerede passwordkon Anbefalingerne følges. Alle brugere er i systemerne sat til at skulle ændre password inden for en kortere tidsbestemt periode. Efter revisionens gennemgang og påvisning af problemet med omgåelse hos et PwC 23
30 Nr. Prio. Observation Risiko Anbefaling er som omgår sikkerhedspolitikken, herunder en række, der tilhører medarbejdere i it-centeret. Status 2012: Vi har fået oplyst, at Windows brugerne gennemgås regelmæssigt og at personspecifikke brugere skifter password regelmæssigt. Vi har modtaget udskrift, som viser at de brugere som ikke skifter password er systembrugere og inaktive testbrugere. Vi anser punktet for lukket. Status 2013: Under gennemgang af Windows AD har vi observeret 5 aktive bruger-id, hvor password ikke er skiftet i henhold til kommunens politik. Det omfatter alle eksterne konsulent konti. Det er oplyst, at forholdet straks rettes. Status 2014: Status er ifølge det oplyste, at forholdet er blevet rettet ad to omgange. Status marts 2015: Under vores gennemgang af Windows AD har vi observeret 2 administratorkonti samt 7 almindelige brugerkonti, der ikke følger den gældende passwordpolitik om periodisk skift af password. Status marts 2016: Under vores gennemgang af Windows AD har vi observeret 3 personhenførbare konti som ikke er påtvunget krav troller bør kun omgås efter dispensation, f.eks. systembruger-id eller lignende - og her er det i princippet ikke nødvendigt at kende password. fåtal medarbejdere, der har udvidede rettigheder eller adgang til kritisk eller fortrolige informationer, vil Itcenterets ledelse periodisk gennemgå disse konti med henblik på at imødekomme den type af sikkerhedsbrud. It-ledelsen har endvidere som følge af revisionens findings givet instruks til samtlige medarbejdere i Itcenteret om at følge de spilleregler, der er nedskrevet i it-sikkerhedspolitikken Kommentar ikke modtaget 2014 IT-Forsyningen vil straks sikre, at alle brugerkonti lever op til den gældende itsikkerhedspolitik. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling Den overordnede politik forventes godkendt ultimo PwC 24
Marts Egedal Kommune Revision af generelle it-kontroller vedrørende regnskabsaflæggelsen (ITGCFR)
Marts 2018 Egedal Kommune Revision af generelle it-kontroller vedrørende regnskabsaflæggelsen (ITGCFR) It-chef Anders Lungholdt Informationssikkerhedskoordinator Jens Kjærulff Egedal Kommune Dronning Dagmars
Læs mere10. maj Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret
10. maj 2016 Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret 2015 Malene Barfod Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke 10. maj 2016 Formål Formålet
Læs mere2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret
2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål
Læs mereMaj Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret
Maj 2017 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2016 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 4. maj 2017
Læs mereFaxe Kommune Revision af generelle itkontroller
Faxe Kommune Revision af generelle itkontroller 2013 August 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 15. august 2014 Formål Vi har i perioden
Læs mereMaj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret
Maj 2015 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 18. maj
Læs mereMaj Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret
Maj 2015 Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret 2014 Jesper Rerup-Dyrberg Bibi Hvalsøe From Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke 12. maj
Læs mereFaxe Kommune Revision af generelle itkontroller
Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision
Læs mere21. februar Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret
21. februar 2017 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2016 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 21. februar 2017
Læs mereGreve Kommune. Revision af generelle it-kontroller 2011
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle
Læs mere30. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret
30. marts 2016 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2015 Økonomi- og Stabschefchef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 30.
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereFront-data Danmark A/S
Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560
Læs mere1. Ledelsens udtalelse
www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereFront-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.
Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereIT-SIKKERHEDSPOLITIK UDKAST
IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereIt-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.
Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs merefrcewtfrhousf(wpers ml
frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereBilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018
Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr. 85249 18. juni 2018 MedComs styring af SDN Vi har undersøgt, om ledelsen har etableret en effektiv styring af
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereStatus baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015
Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015 Status = projektstatus ud fra milepæle Følger plan Ved korrigerende handlinger
Læs mereIt-revision af Sundhedsdatanettet 2015 15. januar 2016
MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereJyske Bank Politik for It sikkerhed
Indholdsfortegnelse Indholdsfortegnelse... 1 1. Formål og omfang... 2 2. It sikkerhedsniveau... 2 3. Organisation og ansvar... 2 4. It risikostyring... 3 5. Outsourcing... 3 6. Sikkerhedsprincipper...
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs mereOVERORDNET IT-SIKKERHEDSPOLITIK
OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5
Læs merewww.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor
www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor Pr. 1. januar 2015 Indholdsfortegnelse 1. Tiltrædelse som revisor 3 1.1. Indledning 3 1.2. Opgaver og ansvar 3 1.2.1. Ledelsen 3 1.2.2.
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereBilag 7.1 Status på handleplan
Bilag 7.1 Status på handleplan Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015 Status = projektstatus ud fra milepæle Følger plan
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereHillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk
It-sikkerhedspolitik Bilag 8 Kontrol og adgang til systemer, data og netværk November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3
Læs mereBilag til dagsordenspunkt "Revisionsberetninger for regnskabsåret 2015"
Område: Økonomi Afdeling: Regnskab og Finans Journal nr.: 15/44436 Dato: 15. juni 2016 Udarbejdet af: Birthe Drejer Nielsen E-mail: Birthe.D.Nielsen@rsyd.dk Telefon: 76631639 Notat Bilag til dagsordenspunkt
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereInformationssikkerhedspolitik Frederiksberg Kommune
Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereSotea ApS CVR-nr. 10 08 52 25
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj
Læs mereDet er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores
It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning
Læs mereISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer
plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger
Læs mereRevisionsrapport Revision af generelle it-kontroller 2016
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Københavns Kommune Koncernservice
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereSådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed
Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget
Læs mereMedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereTabulex ApS. Februar erklæringsår. R, s
Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår
Læs mereNOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer
NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010
Læs mereOverordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereSyddansk Universitet. Institutionsrevisors protokollat om forberedende revisionsarbejder for 2018
Syddansk Universitet Institutionsrevisors protokollat om forberedende revisionsarbejder for 2018 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, CVR-nr. 33 7712 31 Strandvejen 44,2900
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereDatabehandleraftale Leverandør
, Beskæftigelses- og Integrationsforvaltningen Bilag L - 1 Leverandør Dags dato er indgået nedenstående aftale mellem: Københavns Kommune Beskæftigelses- og Integrationsforvaltningen CVR.nr.: 64 94 22
Læs mereÅrshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.
Årshjul Formål For at styre informationssikkerheden og for at sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, men andre er enkeltstående aktiviteter.
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs mereINFORMATIONS- SIKKERHEDS- POLITIK
INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen
Læs mereGreve Kommune. Revision af generelle it-kontroller
Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr. 4 1 37 14 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle
Læs mereIT risici og compliance. Hvad driver mig? Det gode råd med på vejen?
IT risici og compliance Hvad driver mig? Det gode råd med på vejen? Compliance Regelværk inspiration Trusler/scenarier Risikostyring IT risici Risici/kontroller Security compliance Lille tilbageblik Agenda
Læs mereAabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09
Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede
Læs mereKl Indledning v. Lone Strøm, Rigsrevisor
Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,
Læs mereNetic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.
www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors
Læs mereFor så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:
Statsrevisorernes Sekretariat Christiansborg 1240 København K Justitsministeren Dato: 9. december 2014 Sagsnr.: 2014-0284-0164 Dok.: 1378944 Kære statsrevisorer Ved brev af 2. oktober 2014 har Statsrevisorernes
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]
Læs mere1. Introduktion til SoA Indhold og krav til SoA 4
Indhold 1. Introduktion til SoA 3 2. Indhold og krav til SoA 4 3. Roller og proces 6 3.1 Dokumentejer og beslutningstager 6 3.2 Inputgivere 6 3.3 Godkender 6 4. Valg af sikringsforanstaltninger 8 4.1 Tilvalgte
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs mereOrganisering og styring af informationssikkerhed. I Odder Kommune
Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering
Læs mereDATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )
DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:
Læs mere1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2
Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering
Læs mereMedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereIkast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550
Ikast-Brande Kommune Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550 Godkendt i Byrådet den 20.06.2016 2 Indhold 1. Indledning... 4 2. Formål... 5
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereLANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mereNotat om revisionsberetning nr. 35 vedrørende revisionen af Region Midtjyllands regnskab for 2015
Regionshuset Viborg Koncernøkonomi Skottenborg 26 Notat om revisionsberetning nr. 35 vedrørende revisionen af Region Midtjyllands regnskab for 2015 8800 Vibrog Tel. +45 87285000 koncernoekonomi@stab.rm.dk
Læs mere