SYSTEMHOSTING A/S CVR nr.:

Størrelse: px
Starte visningen fra side:

Download "SYSTEMHOSTING A/S CVR nr.: 25814606"

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden til SYSTEMHOSTING A/S CVR nr.: REVI-IT A/S

2 Indholdsfortegnelse SYSTEMHOSTING A/S ledelseserklæring... 3 SYSTEMHOSTING A/S beskrivelse af kontroller i forbindelse med drift af deres hosting-platform... 4 Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet...17 Kontrolmål, udførte kontroller, test og resultater heraf...20 REVI-IT A/S Side 2 af 26

3

4 Afsnit 2: SYSTEMHOSTING A/S beskrivelse af kontroller i forbindelse med drift af deres hosting-platform Introduktion Formålet med denne beskrivelse er, at levere information til SYSTEMHOSTING kunder og deres revisorer vedrørende kravene i den internationale revisionsstandard for erklæringsopgaver om kontroller for hos en serviceleverandør, ISAE Beskrivelsen har herudover det formål, at give information om de kontroller, der er anvendt for vores hostingsystem hos os i perioden 1. januar til 31. december Følgende beskrivelse omfatter de kontrolmål og kontroller hos SYSTEMHOSTING, som omfatter størstedelen af vores kunder og er baseret på vores standardleverance. Individuelle kundeforhold, er ikke medtaget i denne beskrivelse. SYSTEMHOSTING og vores hostingsystem SYSTEMHOSTING er en innovativ danskejet IT-virksomhed, stiftet i 2001 og som beskæftiger 27 medarbejdere. Vi har kontor i Søborg, men betjener kunder over hele landet. Vores mission er at levere komplette hostede IT-løsninger med relaterede konsulentydelser til mindre og mellemstore virksomheder, og vores fokus på skyen og cloud computing betyder, at vi i dag hører til blandt Danmarks største leverandører af hostede IT-løsninger. SYSTEMHOSTING A/S er Microsoft Silver Certified Partner, certificeret i ht. Hostingmærket, nomineret af Microsoft til Årets Hosting Partner 2011, 2012 og 2013, Og vinder af Årets Hosting Partner Derudover er vi medlem af BFIH.dk, Brancheforeningen for IT-hostingvirksomheder i Danmark (www.bfih.dk) samt Microsoft Hosting Community. IT-outsourcing, hvad er den komplette hostede platform? Vi standardiserer i bunden og kunde-tilpasser i toppen af løsningen: Den komplette hostede platform er vores standard for en IT-løsning som er designet til virksomheder i alle brancher. Takket være den bagvedliggende styring af hardware-ressourcer har vi fleksibiliteten til at dimensionere og skræddersy fra kunde til kunde. Dermed imødekommer vi brugernes unikke krav og behov uden at gå på kompromis med kvalitet og struktur - en sjældenhed indenfor IT-branchen! Eget serverdomæne og sin helt egen applikationsserver - konfigureret og klart til drift: Vi leverer et færdigt serversetup, og mindst 1 dedikeret server til alle programmer, databaser og specielopsætninger. Dermed leverer vi hosting af jeres komplette ITplatform med support, opkobling hvor man end står og går, mobilsynkronisering og genbrug af eksisterende relevante programmer og data. Indeholdt er naturligvis daglig backup, antivirus og løbende opdatering af serversetup. Løsningerne baseres på Microsoft Windows Server 2008R2 eller Windows Server 2012R2. Hvordan gør vi 4 trin fra beslutning til færdig løsning: Processen fra start til færdig-implementeret løsning er præcist defineret og følger nedenstående 4 trin. Forud for hver ny løsning indgår personlig og kompetent råd- REVI-IT A/S Side 4 af 26

5 givning og planlægning vedrørende dimensionering, forretningsstruktur, licenser og andre relevante forhold. 1. Grundmodul Et færdigt serversetup, komplet med licenser og brugere. 2. Egne data Hvilke af jeres eksisterende data og programmer skal vi genbruge? 3. Nye programmer Har I ønsker om ny Office-pakke, Adobe-program, ERP eller lignende? 4. Konfiguration Tilpasning af datastruktur, administratoradgang eller måske en ekstra server til håndtering af specialprogrammer? Hvad er udbyttet? Behold fokus på din egen forretning (det du er bedst til) Ingen kapitalbinding i hardware Ingen behov for IT kompetencer in-house Udvidet IT afdeling ved behov Mobilitet hjemmearbejdsplads altid adgang Høj grad af tilpasning og genbrug af eksis. programmer/licenser Styr på økonomien: Fast pris pr. bruger pr. mdr. Nemt at skalere op og ned i hardware ressourcer Nemt at skalere op og ned med antal brugere Kun ét login Ensartet og effektiv platform: Alle arbejder og gemmer data korrekt og bruger de samme programversioner Hvorfor er vi bedre end de andre God support; Over 80% af vores supportopgaver får karakteren Meget tilfreds Nomineret af Microsoft til Årets Hosting Partner 2011, 2012 og Vinder i 2014 Microsoft Certificeret i Hosting og Dynamics NAV Totalleverandør; også på hardware (bærbar, printere mv.) samt onsite IT support ISO certificeret dansk datacenter ISAE 3402 certificeret hostingydelser Certificeret i ht. Hostingmærket Medlem af Microsoft Denmark Hosting Community Medlem af og i bestyrelsen for BFIH, Brancheforeningen For IT- Hostingvirksomheder i Danmark (www.bfih.dk) Organisation og ansvar SYSTEMHOSTING beskæftiger 27 medarbejdere, og har en flad struktur. Konsulenterne har ansvar for den overordnede drift og 2. line help desk. Support tager indkomne henvendelse fra telefon eller mail. Core-IT har ansvaret for den bagvedliggende drift af centrale servere og Hypervisor. Ledelsen er ansvarlig for IT-sikkerhed og at IT-Politikken overholdes. REVI-IT A/S Side 5 af 26

6 Risikostyring i SYSTEMHOSTING Vi har procedurer for løbende risikovurdering af vores forretning og specielt vores hostingsystem. Dermed kan vi sikre, at de risici, som er forbundet med de services og ydelser, vi stiller til rådighed, er minimeret til et acceptabelt niveau. Risikovurdering foretages periodisk samt når vi foretager ændringer eller implementerer nye systemer, som vi vurderer at have relevante til at revurdere vores generelle risikovurdering. Ansvaret for risikovurderinger er hos Driftchefen og skal efterfølgende forankres og godkendes hos SYSTEMHOSTING ledelse. Generelt om vores kontrolmål og implementerede kontroller Vi har defineret vores kvalitetsstyringssystem ud fra vores overordnede målsætning om, at levere stabil og sikker it-drift til vores kunder. For at kunne gøre det, er det nødvendigt, at vi har indført politikker og procedurer, der sikrer, at vores leverancer er ensartet og gennemsigtig. Vores it-sikkerhedspolitik er udarbejdet med reference til ovenstående, og er gældende for alle medarbejdere og for alle leverancer. Vores metodik for implementering af kontroller er defineret med reference til ISO (Regelsæt for styring af informationssikkerhed), og er dermed helt overordnet inddelt i følgende kontrolområder: Overordnede retningslinjer Organisering af informationssikkerhed Styring af informationsrelaterede aktiver Medarbejdersikkerhed Fysisk sikkerhed Styring af netværk og drift Adgangsstyring Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Styring af sikkerhedshændelser Beredskabsstyring Overensstemmelse med lovbestemte og kontraktlige krav Vi foretager løbende forbedringer af både politikker, procedurer og den operationelle drift. Vi er medlemmer af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), og vi bliver i den forbindelse årligt revideret for hvorvidt vi lever op til BFIH s regelsæt der centrerer sig om hvordan vi leverer vores driftsydelser, foretager genetablering, håndterer sikkerhedsopdatering mv. Kontrolmiljø Det følgende beskriver vores kontrolmiljø nærmere for hvert enkelt område. Overordnede retningslinjer Vi har defineret vores overordnede metodik og tilgang til levering af vores ydelser med hvad det indebærer, i vores it-sikkerhedspolitik og tilhørende strategiske og taktiske dokumenter. Formålet er at sikre, at vi har ledelsesgodkendte retningslinjer for informationssikkerhed i forhold til forretningsstrategien og i forhold til relevant lovgivning. Ledel- REVI-IT A/S Side 6 af 26

7 sens budskab er kommunikeret til alle medarbejdere i SYSTEMHOSTING, og vi opdaterer løbende dokumenterne efter behov, og minimum én gang årligt. Dette punkt er yderligere beskrevet tidligere i denne beskrivelse, under overskriften Generelt om vores kontrolmål og implementerede kontroller. Organisering af informationssikkerhed Formål Styring af sikkerhed, drift, og generelt styring af vores processer der munder ud i vores leverance, skal ske ensartet og pålideligt. Ledelsesopbakning Det er ledelsen der godkender retningslinjerne for politikker og procedurer, og det er ledelsen der periodisk godkender opdateringer hertil. Årligt foretages der review heraf for at sikre en opdateret politik. Politik Vi har etableret it-sikkerhedspolitik der beskriver hvordan vi overordnet skal håndteres vores forretning og vores leverance. Alle medarbejdere kender til denne via og informeres, når ledelsen godkender opdateringer til politikken. Der er etableret fortrolighed generelt for alle involverede i vores forretning. Dette sker via ansættelseskontrakter eller samarbejdsaftaler med underleverandører og samarbejdspartnere. Vi har i vores politik defineret hvordan vi samarbejder med eksterne parter. Er der tale om parter som er en integreret del af vores leverancer, skal vi føre tilsyn med underleverandørens etablerede kontroller. Vores tekniske og logiske sikkerhedsmodel kan ikke afviges. Ønsker kunder ændringer, der efter vores opfattelse slækker på deres eller på vores, eller andre kunders systemer, tager vi en dialog med kunden om en tilsvarende løsning. Dette kan være web-services, kodeordspolitik, IP-forhold mv. Styring af informationsrelaterede aktiver Formål Systemer, data og enheder skal sikres og dokumenteres betryggende. Ejerskab Via ansvarsfordeling og rollebeskrivelser, er centrale netværksenheder, servere, periferienheder, systemer og data tilegnet systemansvarlige i vores virksomhed. Kunders data og systemer er tilegnet kundens kontaktperson. Vi arbejder med ejerskab for at sikre, at ingen enheder, systemer eller data bliver glemt ift. sikkerhedsopdatering, klassifikation, drift og vedligehold. Klassifikation af data For at kunne skelne mellem systemer og data og kunne prioritere herimellem f.eks. ved genskabelse, er data overordnet set klassificeret. Vores kunders data er klassificeret sammen. Vores egne data på samme niveau, mens systemdata for netværk, dokumentation er prioriteret højst, herunder sikret betryggende. Kontrakter, SLA Vi har kontrakter på aftalte ydelser for alle vores kunder. Særlige forhold er beskrevet heri som de var ved aftaleindgåelse. Ændringer hertil er beskrevet i bilag til kontrakt og fremsendt til godkendelse, eller beskrevet i vores support-system. REVI-IT A/S Side 7 af 26

8 Vores SLA (Service Level Agreement) beskriver vores generelle vilkår i forbindelse med vores ydelse over for vores kunder, herunder oppetid, driftsvinduer, support mv. Fysiske enheder Software, servere og netværksudstyr inkl. konfiguration er registreret til brug ved dokumentation, overblik over udstyr mv. Medarbejdere og deres certificeringer Vores aktiver er i høj grad vores medarbejdere, og vi fører en struktureret metodik i forhold til vores medarbejderes kvalifikationer, uddannelse og certificeringer. Medarbejdersikkerhed Formål Vi vil sikre, at alle i virksomheden er bekendte med deres roller og ansvar herunder også vores underleverandører og 3. parter, og at alle er kvalificerede og egnede til at udføre deres rolle. Roller og ansvar og samarbejde med eksterne Alle i vores virksomhed skal leve op til den rolle, som er tilegnet dem samt følge vores procedurer jf. vores it-sikkerhedspolitik. Dette er for at sikre, at bl.a. sikkerhedsrelaterede forhold eskaleres og håndteres. Vigtigst er, at vi passer på vores kunders data, vores udstyr og dermed vores forretning. Vi har procedurer for ansættelse af medarbejdere og etablering af samarbejde med eksterne, hvor vi sikrer, at vi ansætter den rigtige kandidat ift. baggrund og kompetence. Vi har jobbeskrivelser for medarbejdere og medarbejderkategorier, så alle er bekendte med deres ansvar. Ansættelsesvilkår Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i hver medarbejders ansættelseskontrakt hvor forhold omkring alle sider af ansættelsen, herunder ophør, er angivet. Uddannelse og træning Medarbejdere, og eksterne parter hvor det er relevant at inkludere disse under vores sikkerhedsretningslinjer, bliver periodisk orienteret om vores sikkerhedsretningslinjer samt når der sker ændringer. Fysisk sikkerhed Formål Vi vil sikre, at vi har et betryggende fysisk miljø omkring vores hostingsystem og dermed vores kunders data. Servere, services, data og informationer generelt er afskærmet mod miljømæssige påvirkninger (brand, vand, temperatur mv.), og herudover skal vi have fornøden og betryggende sikring mod hærværk, tyveri mv. Serverrum Vores servere er fysisk placeret i lokale, som har monteret køling og brandslukning mv. Alene autoriserede personer har adgang til lokalet, og vi følger periodisk op på hvilke personer, der har denne adgang. Skal eksterne personer (leverandører eller kunder) have adgang til lokalet, er det i følgeskab med en af vores autoriserede medarbejdere. Vores køleanlæg bliver efterset periodisk, ligesom vores nødstrømsanlæg (UPS) halvårligt får foretaget eftersyn. Vi har opsat systemer således, at vi overvåger temperatur og strømspænding i serverrummet. REVI-IT A/S Side 8 af 26

9 Serverrummet indeholder vores centrale netværksudstyr, og er således sikret på samme vis som servere. Driftssteder og co-location Vi fører natligt data til vores co-location hos os som backup og sikring af vores kunders data og systemer, såfremt vores to driftssteder af den ene eller anden årsag bliver utilgængelig. Vi har aftale med de pågældende leverandører om housing af vores egne servere, og der er implementeret tilsvarende foranstaltninger mod tyveri, brand, vand og temperatur, som vi har i vores eget serverrum. Vi modtager årligt revisorerklæring, der afdækker den fysiske sikkerhed hos vores underleverandører. Senest har vi modtaget revisorerklæringer som dækker peioden hhv. 1. januar til 31. december 2012, 1. juni 2011 til 31. maj 2012 samt 1. januar til 31. december Erklæringerne er afgivet uden forbehold eller bemærkninger af væsentlig karakter. Den efterfølgende revisorerklæring er afgivet efter helhedsmetoden, og revisor har i den forbindelse foretaget kontrol af udvalgte og passende kontroller hos vores underleverandør for perioden hvor dennes revisorerklæring ikke dækker perioden for afgivelse af revisorerklæring for os. Kontorer Vores kontorlokaler er monteret med tyverialarm, som på samme vis som ved alarmering i vores serverrum, alarmerer relevante personer hos os. Vi har etableret mulighed for, at vores medarbejdere kan arbejde hjemmefra af hensyn til bl.a. driftsvagt, og vi har politik for, at udstyr (bærbare mv.) ikke benyttes til andet end arbejdsrelaterede forhold, ikke efterlades uden opsyn mv. Bortskaffelse Alt databærende udstyr destrueres inden bortskaffelse for at sikre, at data ikke er tilgængeligt. Styring af netværk og drift Formål Vi vil sikre, at vores organisering af implementering, drift og ændring i og af vores ydelse sker struktureret og efter aftale med vores kunder. Vi skal sikre at itsikkerheden generelt er høj, og via systemer og procedurer til sikring heraf, ikke kompromitterer vores, vores kunder systemer og data. Vi skal have procedurer for genskabelse af data, overvågning og logning af data, og vi skal generelt have opmærksomhed på fortroligheden omkring vores kunders data. Drift Vi vil sikre, at vi har en stabil, korrekt og sikker drift af vores systemer. Opgaver fastsættes, uddelegeres, og via procedurer for styring af den operative drift, sikrer vi dette. Vores dokumentationer og processer generelt sikrer herudover, at vi udelukker eller minimerer nøglepersonsafhængighed. Ændringshåndtering Vi har defineret en proces for ændringshåndtering for at sikre, at ændringer sker efter aftale med kunder og tilrettelagt hensigtsmæssigt i forhold til interne forhold. Ændringer sker alene baseret på en kvalificering af opgaven, kompleksiteten og vurdering af påvirkning af andre systemer. Herudover følges en proces omkring udvikling og test, og accept fra både os og fra kundens side. Uanset hvilken ændring, der er tale om, sikres det altid, som minimum, at; Alle væsentlige ændringer drøftes, prioriteres og godkendes af ledelsen Alle væsentlige ændringer testes REVI-IT A/S Side 9 af 26

10 Alle ændringer på backbone servere godkendes før idriftsættelse Alle ændringer idriftsættes på et fastsat tidspunkt efter aftale med forretningen og kunder Der fortages fallback-planlægning, som sikrer, at ændringer kan rulles tilbage eller annulleres, hvis den ikke fungerer Systemdokumentationen opdateres med den nye ændring, såfremt det vurderes nødvendigt Afhængighed af nøglepersoner Selvom vores organisation ikke nødvendigvis gør, at vi kan have overlap inden for alle opgaver og systemer, sikrer vi via dokumentationer og beskrivelser og via kompetente og flittige medarbejdere at medarbejdere eller nye medarbejdere kan påbegynde et arbejde på et system, som vedkommende ikke har operationel og historisk erfaring med. Vi opererer med dobbeltroller på alle systemer således, at den primære ansvarlige medarbejder har ansvar for at kommunikere praktiske forhold til kollegaer. Underleverandører Hvor vi bruger underleverandører fører vi tilsyn med de aftalte leverancer, idet disse skal efterleve vores egne politikker for ydelseslevering, herunder vores forretningsvilkår med vores kunder. Som omtalt under Fysiske sikkerhed har vi aftale med ekstern virksomhed om placering af drift-servere hos dem. Det er en professionel virksomhed som lever af at sælge plads til servere til virksomheder som os. Vi henviser ti førnævnte afsnit for forhold omkring Co-location og kontroller forbundet hermed. Kapacitet og systemtest Via vores generelle overvågningssystem, har vi sat grænseværdier for hvornår vores overordnede systemer, og dermed vores kunders systemer, skal skaleres op af hensyn til elektronisk plads, svartider mv. Når vi opsætter nye systemer foretages test af funktionalitet og herunder kapacitet- og performancetest. Skadevoldende kode Vi har implementeret scannings- og overvågningssystemer til at sikre mod kendt skadevoldende kode, dvs. hvad vi og vores kunder via vores platforme kan risikere at blive inficeret med på internettet, via mails mv. Vi har antivirus-systemer, systemer til overvågning af internetbrug og trafik, sikringer i øvrige tekniske og centrale installationer (firewall mv.), og herudover er vores kundesystemer sikret mod at kunne installere programmer. Sikkerhedskopiering Vi sikrer at kunne genskabe systemer og data på hensigtsmæssig og korrekt vis, og efter de aftaler, vi har med vores kunder. Vi har etableret en testplan for verificering af hvorvidt sikkerhedskopieringen fungerer samt en test af hvordan systemer og data praktisk kan retablereres. Der føres en log over disse tests således, at vi kan følge op på om vi kan ændre på procedurer og processer for at højne vores løsning. Med mindre andet er aftalt med vores kunder, foretager vi sikkerhedskopiering af hele deres miljø hos os. Vi foretager sikkerhedskopiering af vores egne systemer og data på samme vis, som vores kunders systemer og data. Vi har defineret retningslinjer for på hvilken vis, vi foretager sikkerhedskopiering. Der tages backup af alle databærende servere hver nat. Der laves backup af øvrige servere en gang hver uge. Sikkerhedskopi føres fra driftssteder til backup-site (hos REVI-IT A/S Side 10 af 26

11 os). Dermed er data fysisk separeret fra vores driftssystemer, og efter endt afvikling, foretages der en automatiseret verificering af, hvorvidt datamængde og indhold mellem vores driftssystem og backup-site, stemmer overens. En ansvarlig medarbejder sikrer herefter, at sikkerhedskopieringen er sket, foretage det fornødne, hvis jobbet er fejlet, og herefter logføres dette. Hvis der er opsat backup af lokale enheder (Remote Backup) er kunden selv ansvarlig for at sikre, at backup jobs kører korrekt. Det er kundens ansvar at sikre at backupjobs inkluderer de filer/mapper der ønskes backup af. Såfremt kunden konfigurerer backupjobs med et krypteringspassword, er kunden selv ansvarlig for at dette krypteringspassword opbevares forsvarligt og sikkert. Mistes dette krypteringspassword vil hverken kunden eller SYSTEMHOSTING være i stand til at reetablere data. Netværkssikkerhed It-sikkerheden omkring systemers og datas ydre rammer, er netværket. mod internettet, remote eller lignende. Vi mener at have sikret data og systemer også inde i netværket, men det ydre værn mod uvedkommende adgang, er af højeste prioritet hos os. Adgang til vores systemer fra vores kunder, sker enten via de offentlige netværk, hvor adgang sker via krypteret VPN-adgang, eller via MPLS. Adgang og kommunikation mellem vores servere og vores driftssteder og backup-site, sker via MPLS. Alene godkendt netværkstrafik (indgående) kommer gennem vores firewall. Vi er ansvarlige for driften og sikkerheden hos os, dvs. fra og med systemerne hos os og ud til internettet (eller MPLS). Vores kunder er selv ansvarlige for at kunne tilgå internettet. Håndtering af databærende medier Vi skal sikre, at vores og vores kunders systemer og data beskyttes. Vi håndterer derfor ikke kunders data på håndbårne medier (USB-nøgler, CD/DVD) uden forudgående aftale med kunderne samt ved passende fysisk beskyttelse mod miljømæssige påvirkninger (varme mv.) samt hærværk og tyveri. Alt databærende udstyr (USB, CD/DVD, harddiske mv.) destrueres inden bortskaffelse for at sikre, at data ikke er tilgængeligt. Vores dokumentation er naturligvis livsvigtig for os, og på alle måder fortrolig ift. omverdenen. For dels at have mulighed for at have dokumentationen tilgængelig også ifm. fejl eller nedbrud på egne servere, men samtidig for at sikre fortroligheden af informationerne, har vi informationerne fordelt på flere steder og platforme. Ekstern datakommunikation Ekstern datakommunikation sker alene via mails, idet vores kunders adgang og brug af vores servere, ikke betragtes som ekstern datakommunikation. Fortrolige informationer udveksles ikke via mails, uden de eller de medfølgende vedhæftede filer er krypterede eller passwordbeskyttede. Førstegangskodeord til kundesystemer fremsendes via mails, men disse skal ændres ved første logon. Glemte kodeord, personoplysninger, bestillinger mv. håndteres via telefon og først efter vores medarbejdere har konstateret, at det er en rigtige og autoriserede person, vi har kontakt til. REVI-IT A/S Side 11 af 26

12 Overvågning og logning Vores driftsmedarbejdere foretager den daglige overvågning af vores systemer via automatiserede systemer til måling af grænseværdier. Der sker en alarmering via mail til vagten såfremt kritiske hændelser konstateres, og vi gør sådan fordi vi skal sikre vores kunders data fortroligheden heraf. Hændelser for login og logout på vores platforme logføres. I kraft af, at vi alle benytter personhenførbare brugerkonti, er det muligt at konstatere hvilke personer der i givet fald har været logget på. Adgangsstyring Formål Vi vil sikre, at vores og vores kunders adgange ske efter hensigten, og at det alene er personer med autoriseret adgangsniveau, der har adgang til data. Vi vil sikre, at der er sporbarhed i brugen af systemer og data, og adgangen sker it-sikkerhedsmæssigt betryggende. Vi har defineret en række retningslinier og procedurer herfor. Brugeroprettelse og nedlæggelse Vores kunders brugere oprettes alene på baggrund af vores kunders ønske. Vores kunder er dermed ansvarlige herfor og for nedlæggelse. Vores egne brugere oprettes alene på baggrund af skriftligt ønske fra ledelsen. Alle brugere skal være personhenførbare, dvs. have tydligt mærke med personnavn. Er der tale om servicebrugere, altså konti som alene benyttes systemmæssigt, er muligheden for egentlig logon deaktiveret. Kodeord Alle brugere på tværs af både kundesystemer og egne systemer, har restriktioner omkring adgangskode. Alle brugere har en adgangskode, og det er systemmæssigt sat op således, at der er begrænsninger ift. udformningen af kodeordet. Koder skal skiftes regelmæssigt, være komplekse, og brugeradgange deaktiveres automatisk hvis brugeren ikke har skiftet kodeordet inden for det definerede tidsrum. Vores it-sikkerhedspolitik beskriver, at vores medarbejderes kodeord er personlige, og det er alene brugeren selv, der må kende kodeordet. Gennemgang af brugere For vores egne brugere, gennemgår ledelsen periodisk en liste med oprettede brugere og deres adgangsniveau for at sikre mod adgang for uautoriserede personer. Brugeradgang til data Vores medarbejdere er opsat med differentieret adgang, og har således alene adgang til de systemer og til de data, som er relevant for arbejdsindsatsen. Vores kunders brugeradgange til kundens systemer og data, bestemmes af vores kunder. Skærmlås Alle interne brugerkonti er centralt styret til at gå på skærmlås ved inaktivitet i 20 minutter. Dermed sikrer vi, at uautoriseret personale ikke opnår adgang til fortroligt data. REVI-IT A/S Side 12 af 26

13 Adgangsveje til netværk og netværksudstyr Vores netværk er komplekst med mange systemer og kunder, og for at sikre mod uvedkommendes adgang, og for at sikre gennemskueligheden af opbygningen, har vi udformet en række dokumentationer, der beskriver det interne netværk med enheder, navngivning af enheder, logisk opdeling af netværk mv. Adgangsmuligheder (logon, vpn, 2-vejs, sms) Adgang til vores netværk og dermed potentielt til systemer og data, skal ske for kun autoriserede personer. Adgang uden vores interne netværk, kan ske på forskellig vis som afhænger af den enkelte aftale med kunden. Der er mulighed for at logge på via krypteret VPNforbindelse. Der er mulighed for at logge på krypteret via brugernavn og kode samt via modtagen SMS besked med tokenkode (one time password). Herudover har visse kunder direkte adgang via MPLS / Lan2Lan. Adgang til systemer og data via mobile enheder Vi har åbnet adgang til, at vi og vores kunder kan benytte mobile enheder (smartphones, tablets mv.) til synkronisering af mails og kalender. Ud over kode, har vi ikke implementeret andre sikkerhedsforanstaltninger til sikring af disse enheder og disses brugeradgange. Vores kunder har mulighed for samme, og det er op til vores kunder at implementere deres sikkerhedspolitik for deres brugere. Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Formål Vi vil sikre, at alle nyanskaffelser og implementeringer af servere, systemer, services og software håndteres på struktureret og sikker vis. For at alle aspekter af nye tiltag (indfasning af ny hardwareplatforme, softwareplatforme og andre tilsvarende systemer og processer forbundet med vores service) håndteres sikkert, struktureret og risikoafvejet. Denne beskrivelse omhandler ikke udvikling eller tilpasning af software eller programmel. Projektstyring Opgaver af en vis størrelse, som kan være væsentlige ændringer i vores generelle driftssystem på tværs af kunder, eller implementering af kundeløsninger baseret på vores standardydelse, har vi en klar og struktureret projektstyring for at sikre en ensartet styring af projektet.. Vores projektmodel er baseret på vores egen og praktiske metodik, men er inddelt i en række faser: Foranalyse, design, test, implementering, test og evaluering. Hver fase indeholder accept fra interessent (kunde, eller ved interne opgaver, fra vores ledelse). Hver fase dokumenteres således, at der efterfølgende er gennemsigtighed for fasens udvikling og afslutning. Et projekt kan blive til som et resultat af en ændringsanmodning (change), en sikkerhedshændelse (incident), ved et projekteret internt tiltag eller ved implementering af nye kunder. Væsentlige ændringer i driftssystemer Vores driftssystem består af en kompleks konfiguration, og når vi planlægger ændringer heri selv når disse er af mindre karakter, men som kan have en væsentlig påvirkning drøftes det internt på driftsmøder. Først herefter foretages ændringen, REVI-IT A/S Side 13 af 26

14 efter godkendelse fra IT-ledelsen. Ændringen sker i vores fastsatte servicevinduer, og vi har forøget overvågning efter test og implementering. Vi planlægger samtidig et fallback scenarie, og vi beskriver dels ændringen og opdaterer vores dokumentation. Vores driftsmiljø er baseret på Microsoft-platforme med virtuelle servere fra VMware og Microsoft. Vi stiller serverplatforme og terminalplatforme baseret på Microsoft Terminal Services til rådighed for vores kunder. I den forbindelse benytter vi ikke andre subsystemer eller tillægssystemer, der håndterer kryptering, anden håndtering af systemfiler, end de foranstaltninger og systemer, som vi benytter i Microsoft systemerne samt i de omkransende netværkssikkerhedssystemer. Styring af sikkerhedshændelser Formål Håndtering af sikkerhedshændelser tager vi meget alvorligt. Vi definerer sikkerhedshændelser bredt, og har procedurer for håndtering af hændelser såsom opdateringer af patches, virusinficerede filer og systemer, overvågning for hackerangreb mv. for at sikre, at vi beskytter vores og vores kunders systemer og data bedst muligt. Rapportering af sikkerhedshændelser Vores support-system, hvori vi håndterer alle sager for kunder og interne forhold, er samtidig vores system til håndtering af sikkerhedshændelser. Heri kan vi eskalere forhold således, at opgaver får højere prioritet end andre. Herudover vil sikkerhedshændelser afstedkommet fra hhv. egne observationer, alarmering ud fra log- og overvågningssystem, telefoniske henvendelser fra kunder, underleverandører eller samarbejdspartnere, blive eskaleret fra vores hotline til driftsafdelingen med samtidig orientering til ledelsen. Vi holder os fagligt opdaterede vha. producenters supporthjemmesider, debatfora mv. for konstaterede svagheder i de systemer, vi benytter og tilbyder. Via vores medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark) har vi etableret kontakt til hotline hos DK-CERT, hvor vi gensidigt har aftale om orientering ved væsentlige sikkerhedsrelaterede forhold vedrørende internettrafik. Håndtering af sikkerhedshændelser Vores medarbejdere indgår i en driftsvagtordning således, at vi kan reagere 24 timer i døgnet. Opstår en hændelse uden for normal arbejdstid, er det den enkelte medarbejder, der vurderer, hvilken reaktion der skal ske. Herefter foretages det fornødne for at orientere kunder og omverden, udbedre forholdet. Dette sker efter konsultation af ledelse eller kollegaer. Sker en hændelse inden for normal arbejdstid, vil hotline/supportafdeling håndtere og eskalere sagen på samme vis som andre sager, og med den prioritering som er nødvendig. Via vores medlemskab af BFIH, er forpligtet til at sikre, at kritiske sikkerhedsopdateringer implementeres inden for 2 måneder efter frigivelse. Dette sikrer vi ved, at vi efter strukturerede processer afvejer alle væsentlige opdateringer og implementerer dem inden for tidsrammen. Evaluering af sikkerhedshændelser En sikkerhedshændelse kan afhængig af forholdet blive genstand for efterfølgende efterforskning. Dette kan ske internt af hensyn til evaluering og eventuel REVI-IT A/S Side 14 af 26

15 ændring i procedurer, tekniske eller logiske forhold. Det er også muligt, at der ved kriminelle forhold skal ske en politimæssig efterforskning. I alle tilfælde vil vores logføring og øvrige overvågningssystemer kunne benyttes til at evaluere på sikkerhedshændelsen. Beredskabsstyring Formål Vi vil have mulighed for at genoptagelse af vores primære og centrale forretningsprocesser og systemer efter en katastrofelignende situation. Beredskabsplan Skulle der opstå en nødsituation, har SYSTEMHOSTING udarbejdet en beredskabsplan. Beredskabsplanen er forankret i it-risikoanalysen og vedligeholdes minimum årligt i forlængelse af udførelsen af analysen. Planen testes som en del af vores beredskab, så vi sikrer, at kunderne i mindst muligt omfang vil opleve forstyrrelser i driften i forbindelse med en eventuel nødsituation. Planen og procedurerne er forankret i vores driftsdokumentation og procedurer. Via vores medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), er vi forpligtet til, at vi inden for 3 dage kan retablere enhver enhed i vores datacenter. Dette sikrer vi ved, at vi har afvejet risici, klassificeret enheder i vores driftsapparat, og har procedurer der sikrer, at vi i vores beredskabsplanlægning kan foretage udskiftning af vores driftsplatform, så de leverede ydelser vil retableres rettidigt. Overensstemmelse med lovbestemte og kontraktlige krav Vi er ikke underlagt særlig lovgivning i forhold til vores ydelse. Vores kunder kan dog være, og de steder, er vores understøttelse heraf aftalt særskilt. Vi lader os årligt revidere af ekstern revisor med henblik på afgivelse af erklæring for overholdelsen af kontrollerne nævnt i denne beskrivelse. I kraft af, at vi er medlemmer af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), skal vi årligt kunne attestere at vi følger rammerne inden for ISO Omtalte revisorerklæring sikrer dette, ligesom BFIH ønsker ekstern revisors bekræftelse på vores overholdelse af foreningens øvrige krav omhandlende forsikringsforhold, gennemsigtighed i forretningsvilkår, selskabsretlige forhold for vores virksomhed mv. Disse bekræftelser fra revisor er hjælp til BFIH s certificering af vores virksomhed. REVI-IT A/S Side 15 af 26

16 Ændringer i perioden Gennem perioden fra 1. Januar 2014 til 31. December 2014 er der sket ganske få væsentlige ændringer. Vi har øget kompetencen af vores tekniske personale i form af nyansættelser, og herudover har vi: Videreudviklet vores nye managementplatform med Software distribution, patchmanagement, og automatisering. Implementeret ny hardware til kunder Udarbejdet automatiseringer af manuelle processer Etableret flere mindre procedurer for at sikre drift og stabilitet Igangsat 24 timers Vagttelefon få både kunder og Drift bagvagt Komplementerende kontroller SYSTEMHOSTING kunder er, med mindre andet er aftalt, ansvarlige for at etablere forbindelse til SYSTEMHOSTING servere. Herudover er SYSTEMHOSTING kunder, med mindre andet er aftalt, ansvarlige for: at det aftalte niveau for backup dækker kundens behov periodisk gennemgang af kundens egne brugere at der opretholdes sporbarhed i tredjeparts software som kunden selv administrerer. SYSTEMHOSTINGs standard backup-rutine benytter Change Block Tracking (CBT) teknologi. SYSTEMHOSTING garanterer ikke for konsistens af backup såfremt kundespecifikke softwareprodukter ikke understøtter denne teknologi. Dette er oftest relevant for databaser, eksempelvis Dynamics NAV Native. Kunden er selv ansvarlig for at sikre at specifikke softwareprodukter understøtter CBT teknologi. Hvis der er opsat backup af lokale enheder (Remote Backup) er kunden selv ansvarlig for at sikre, at backup jobs kører korrekt. Det er kundens ansvar at sikre at backupjobs inkluderer de filer/mapper der ønskes backup af. Såfremt kunden konfigurerer backupjobs med et krypteringspassword, er kunden selv ansvarlig for at dette krypteringspassword opbevares forsvarligt og sikkert. Mistes dette krypteringspassword vil hverken kunden eller SYSTEMHOSTING være i stand til at reetablere data. REVI-IT A/S Side 16 af 26

17 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos SYSTEMHOSTING A/S, deres kunder, og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om SYSTEMHOSTING A/S beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af SYSTEMHOSTING A/S ledelse, dækker virksomhedens behandling af kunders transaktioner på virksomhedens hosting-platform i perioden til , samt udformningen og funktionaliteten af de kontroller der knytter sig til de kontrolmål, som er anført i beskrivelsen. SYSTEMHOSTING A/S beskrivelse (afsnit 2) indeholder en række forhold som virksomheden skal leve op til jf. virksomhedens medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark). Vores revision har omfattet disse forhold, og består udover de fysiske forhold, herunder server hardware, LAN, WAN og firewalls, af: hvorvidt SYSTEMHOSTING A/S implementerer kritiske sikkerhedsopdateringer inden for 2 måneder fra frigivelse, og hvorvidt SYSTEMHOSTING A/S kan retablere enheder i datacenter inden for 3 dage. SYSTEMHOSTING A/S ansvar SYSTEMHOSTING A/S er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udsagn (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret. SYSTEMHOSTING A/S er herudover ansvarlig, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål og for udformningen, implementeringen og effektiviteten af fungerende kontroller for at nå de anførte kontrolmål. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om SYSTEMHOSTING A/S beskrivelse (afsnit 2) og om udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, REVI-IT A/S Side 17 af 26

18 og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør SYSTEMHOSTING A/S beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i SYSTEMHOSTING A/S udsagn i afsnit 2 og det er på den baggrund vores vurdering, (a) (b) (c) (d) at beskrivelsen af kontroller, således som det var udformet og implementeret i hele perioden til , i alle væsentlige henseender er retvisende, og at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra til , og at kontrollerne for de særlige krav, som er foranlediget af virksomhedens medlemskab af BFIH jf. beskrivelsen i kapitel 2, var hensigtsmæssigt udformet i hele perioden fra til , og at de testede kontroller, som var de kontroller, der var nødvendige for at give en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden til REVI-IT A/S Side 18 af 26

19 Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse tester fremgår i det efterfølgende hovedafsnit (afsnit 4). Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt SYSTEMHOSTING A/S hosting-platform, og disses revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 12. marts 2015 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, adm. direktør REVI-IT A/S Side 19 af 26

20 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som SYSTEMHOSTING A/S har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden til Vi har således ikke nødvendigvis testet alle de kontroller, som SYSTEMHOSTING A/S har nævnt i sin beskrivelse i afsnit 2. Kontroller, udført hos SYSTEMHOSTING A/S kunder, er herudover ikke omfattet af vores erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos SYSTEMHOSTING A/S via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførelse af kontrol Overordnet beskrivelse Interview, altså forespørgsel af udvalgt personale hos virksomheden angående kontroller Observation af hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførelse. Vi har selv eller observeret en genudførelse af kontroller med henblik på at verificere, at kontrollen fungerer som forventet. Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser her fra, har vi anført dette. REVI-IT A/S Side 20 af 26

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2015 til 31-12-2015 SYSTEMHOSTING

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

DFF-EDB a.m.b.a CVR nr.:

DFF-EDB a.m.b.a CVR nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I

Læs mere

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-12-2014 til 30-11-2015 ISAE 3402-II any.cloud

Læs mere

NORRIQ Danmark A/S CVR-nr.:

NORRIQ Danmark A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-01-2016 til 31-12-2016 ISAE 3402-II NORRIQ Danmark

Læs mere

ISAE 3402-II NORRIQ Danmark A/S. CVR nr.: Marts 2016

ISAE 3402-II NORRIQ Danmark A/S. CVR nr.: Marts 2016 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-01-2015 til 31-12-2015 ISAE 3402-II NORRIQ Danmark

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

DFF EDB a.m.b.a. CVR-nr.:

DFF EDB a.m.b.a. CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

any.cloud A/S CVR-nr.:

any.cloud A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelsen i perioden 01-12-2015 til 30-11-2016 ISAE 3402-II any.cloud

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Sotea A/S. CVR nr.: 10 08 52 25. Marts 2016

Sotea A/S. CVR nr.: 10 08 52 25. Marts 2016 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-02-2015 til 31-01-2016 Sotea A/S CVR nr.: 10

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Sotea A/S 19. april 2016 version 1.0 1

Sotea A/S 19. april 2016 version 1.0 1 version 1.0 1 1.... 3 2.... 3 3.... 4 4.... 5 5.... 5 6.... 6 7.... 6 version 1.0 2 1. Nærværende Service Level Agreement dokumenterer det aftalte serviceniveau, og beskriver kundens garanti i forbindelse

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

NaviPartner København ApS CVR-nr.: 21 38 21 91

NaviPartner København ApS CVR-nr.: 21 38 21 91 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og effektivitet i forbindelse med drift af Microsoft Dynamics NAV hosting-platform i perioden 01-10-2014 til 30-09-2015

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Zentura IT A/S CVR-nr.:

Zentura IT A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med salg og drift af hostingplatform i perioden 01-11-2015 til 31-10-2016 3402-II

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Business Data A/S Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Version 3.0.1 (senest redigeret 20. november 2014) Indhold 1. Generelt... 2 2. Definitioner...

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

Sotea ApS CVR nr.: DK 10085225

Sotea ApS CVR nr.: DK 10085225 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-08-2014 til 31-01-2015 Sotea ApS CVR nr.: DK 10085225

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

A/S SCANNET Service Level Agreement

A/S SCANNET Service Level Agreement A/S SCANNET Service Level Agreement Outsourcing, server og webhosting INDHOLD 1. GENERELT...1 1.1 STANDARDER & DEFINITIONER...1 2. DRIFTSVINDUE & OPPETID...2 2.1 SERVICEVINDUE...2 2.2 EKSTRAORDINÆR SERVICE...2

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN WWW.JCD.DK HVAD ER CLOUD COMPUTING? Cloud er en fælles betegnelse for en række netbaserede løsninger løsninger du tidligere har

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

It-beredskabsstrategi for Horsens Kommune

It-beredskabsstrategi for Horsens Kommune It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Service Level Agreement Version 2.0 d. 1. april 2014

Service Level Agreement Version 2.0 d. 1. april 2014 Service Level Agreement Version 2.0 d. 1. april 2014 EDB-Eksperten.dk 1. Præambel... 3 1.1. Definitioner... 3 1.2. Produktomfang... 3 2. Driftsvindue og tider... 3 2.1. Driftsvindue... 3 2.2. Åbningstid...

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

A/S it-drift og hostingaktiviteter

A/S it-drift og hostingaktiviteter www.pwc.dk Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Indhold 1. Ledelsens erklæring 3 2. Outforce

Læs mere

WWI A/S CVR-nr.:

WWI A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af deres hostingydelser i perioden 01-12-2015 til 30-11-2016 ISAE 3402-II

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren)

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) Vilkår for hosting 6. revision 7. maj 2005 CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) CompuSoft A/S, Anderupvej 16, DK 5270 Odense N, Tlf. +45 6318

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

IT-AFDELINGEN. On-Premise Server Serviceaftale

IT-AFDELINGEN. On-Premise Server Serviceaftale IT-AFDELINGEN On-Premise Server Serviceaftale ON-PREMISE SERVER SERVICEAFTALE 24/7/365 OVERVÅGNING Sammen med It-afdelingen sikrer du dig proaktivitet og overskuelighed i driften og vedligeholdet af dine

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

MOF i NCC. Holdninger Enkelhed Automatik. Niels Flemming IT-driftschef NCC Construction A/S

MOF i NCC. Holdninger Enkelhed Automatik. Niels Flemming IT-driftschef NCC Construction A/S MOF i NCC Holdninger Enkelhed Automatik Niels Flemming IT-driftschef NCC Construction A/S Hvem er NCC 2002: 25.000 ansatte i alt 4.300 ansatte i dk 40 mia. oms. i alt 7 mia. oms. i DK Side 2 Mange udfordringer

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Aftalevilkår er gældende fra januar 2016. Telefon: E-mail: Web: 8742 8000 support@nhc.dk Silkeborg 2016 Dokumentversion: Dato: Oprettet af: Ændret af: Seneste ændring: 1.1

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Bilag 3 til aftale om Driftsplatform mellem på den ene side ServicePoint A/S CVR-nr. 26 61 64 09 Åbogade 15 DK-8200 Århus N. ( Leverandøren ) og på den anden side Kunden CVR-nr.

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

Produktspecifikationer Private Cloud Version 2.5

Produktspecifikationer Private Cloud Version 2.5 Side 1 af 11 1. INTRODUKTION TIL PRIVATE CLOUD... 3 2. TEKNISK OPBYGNING... 4 2.1. LØSNINGEN... 4 2.2. SPECIFIKATIONER... 4 2.3. BLADE-SERVERNE... 5 2.4. NETVÆRK... 5 2.5. SAN-INFRASTRUKTUR... 5 2.6. VCENTER...

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere