Klestrup partners A/S. ISAE 3402 type 2-erklæring

Størrelse: px
Starte visningen fra side:

Download "Klestrup partners A/S. ISAE 3402 type 2-erklæring"

Transkript

1 Klestrup partners A/S ISAE 3402 type 2-erklæring Generelle it-kontroller i tilknytning til drift af Windows-systemer for perioden 1. januar december 2014 Side 1 af 28

2 Indhold 1 Ledelsens udsagn Revisionserklæring Beskrivelse af generelle it-kontroller Overblik og beskrivelse af omfattede services Beskrivelse af interne kontroller på virksomhedsniveau Komponenterne i den interne kontrol Kontrolmiljø Risikovurdering Monitorering Information og kommunikation Beskrivelse af processer med tilhørende kontrolmål og -aktiviteter Overordnet styring af informationssikkerhed Overvågning af underleverandører af it-driftsservices Overordnet styring af logiske adgange Ændringshåndtering Sikring af informationsrelaterede aktiver Driftsovervågning og alarmering Asset management Beskrivelse af kontrolmål, nøglekontroller samt resultat af udført arbejde Udførte tests Komplementære kontroller hos brugerorganisationer Side 2 af 28

3 1 Ledelsens udsagn Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt den af Klestrup partners A/S (herefter Kp) udbudte driftsplatform baseret på Windows-teknologi. Beskrivelsen er tiltænkt modtagere, som har en tilstrækkelig forståelse til at vurdere beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. Kp har i perioden anvendt Front-safe A/S, Interxion A/S og GlobalConnect A/S som underleverandører af backup og fysisk sikkerhed. Beskrivelsen inkluderer udelukkende kontroller og kontrolmål for processer og kontroller, som håndteres af Kp, og indeholder således ikke kontroller og kontrolmål, som vedrører kontroller og processer, der håndteres af de omtalte underleverandører. Kp bekræfter, at: 1. Den medfølgende beskrivelse giver en dækkende beskrivelse af den af Kp udbudte driftsplatform for Windows i hele perioden fra 1. januar 2014 til 31. december Kriterierne for dette udsagn er, at den medfølgende beskrivelse: a) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: I. de typer af ydelser, der er leveret, herunder behandlede grupper af transaktioner, når det er relevant II. hvordan systemet behandlede andre betydelige begivenheder og forhold end transaktioner III. processen, der blev anvendt til at udarbejde rapporter til kunder IV. relevante kontrolmål og kontroller udformet til at nå disse mål V. kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå VI. andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder de tilknyttede forretningsgange), kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner. b) indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra 1. januar 2014 til 31. december 2014 c) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert Side 3 af 28

4 aspekt ved systemet, som den enkelte kunde måtte anse for vigtigt efter deres særlige forhold. 2. De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. januar 2014 til 31. december Kriterierne for dette udsagn var, at: a) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret b) de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål c) kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. januar 2014 til 31. december København, den 20. februar 2015 Klestrup partners A/S Jeppe Andersen Direktør, CEO Side 4 af 28

5 2 Revisionserklæring Til: Klestrup partners A/S Omfang Vi har fået som opgave at afgive erklæring om Klestrup partners A/S beskrivelse af den af Klestrup partners A/S udbudte Windows-driftsplatform i hele perioden fra 1. januar 2014 til 31. december 2014 (beskrivelsen) og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Klestrup partners A/S anvender Front-safe A/S, Interxion A/S og GlobalConnect A/S som underleverandør af backup og fysisk sikkerhed. Beskrivelsen inkluderer udelukkende kontroller og kontrolmål for processer og kontroller, som håndteres af Klestrup partners A/S, og indeholder således ikke kontroller og kontrolmål, som vedrører kontroller og processer, der håndteres af Front-safe A/S, Interxion A/S og GlobalConnect A/S. Klestrup partners A/S ansvar Klestrup partners A/S er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektiviteten af kontroller for at nå de anførte kontrolmål. Serviceleverandørens revisors ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Klestrup partners A/S beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB, og yderligere krav ifølge dansk revisorlovgivning. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er dækkende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er dækkende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsning i kontroller hos en serviceleverandør Klestrup partners A/S beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Side 5 af 28

6 Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i Klestrup partners A/S udsagn. Det er vores opfattelse, at (a) (b) (c) beskrivelsen af den af Klestrup partners A/S udbudte Windows-driftsplatform, således som den var udformet og implementeret i hele perioden fra 1. januar december 2014, i alle væsentlige henseender er dækkende kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar december 2014 de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået, i alle væsentlige henseender har fungeret effektivt i hele perioden fra 1. januar december Beskrivelse af test af kontroller De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse test fremgår af afsnittet Beskrivelse af kontrolmål, kontroller samt resultat af udført arbejde. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller er udelukkende tiltænkt kunder, der har anvendt den af Klestrup partners A/S udbudte Windows-driftsplatform og deres revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. København, den 20. februar 2015 Ernst & Young Godkendt Revisionspartnerselskab Thomas Kühn statsautoriseret revisor, CISA Jesper Due Sørensen senior manager, CISA Side 6 af 28

7 3 Beskrivelse af generelle it-kontroller Nedenstående beskriver de generelle it-kontroller i relation til den af Kp udbudte Windows-driftsplatform. 3.1 Overblik og beskrivelse af omfattede services Kp er etableret i 2003 og har kontorer i København og Aarhus. Virksomheden leverer hosting og it-drift samt tilknyttede services, såsom systemudvikling og rådgivning som "Platform-as-a-Service" til kunder inden for en bred vifte af brancher, herunder, men ikke begrænset til: Energi og forsyning Pharma og medico Arkitekter og tegnestuer Finansielle institutioner Revisorer Webbureauer Offentlige institutioner Kp tilbyder en it-driftsplatform, der ligeledes understøtter en bred vifte af teknologier, så den kan dække de fleste kunders behov på en effektiv, sikker og hensigtsmæssig måde. For at sikre såvel en stabil drift som opretholdelse af systemers og datas fortrolighed, troværdighed og tilgængelighed har Kp med udgangspunkt i principperne for Information Technology Infrastructure Library version 3 (ITIL) og best practices tilrettelagt processer og kontroller, der modsvarer de vurderede forretningsmæssige behov. Denne rapport omfatter den af Kp udbudte Windows-driftsplatform samt de hertil knyttede services, omfattende: Driftsovervågning Håndtering af sikkerhed, herunder: o Logiske adgange o Password-sikkerhed o Overvågning o Patch management Backup Ændringshåndtering De pågældende områder er yderligere beskrevet i det følgende. Side 7 af 28

8 Erklæringen er herudover afgrænset af følgende: 1. De omtalte kontroller og kontrolmål omfatter kun Kp s organisation i forbindelse med levering af itdriftsservices. Dette medfører, at Kp s softwareudviklingsafdeling (Component) og tilhørende selskaber ikke er omfattet af nærværende erklæring. 2. Kunder og aftaler fra det med Kp fusionerede selskab IT Company A/S (herefter ITC) er en del af konsolideringen af driftsplatformene hos GlobalConnect, hvorfor disse kunder og aftaler ikke er en del af denne erklæring. Det er planlagt, at disse kunder bliver omfattet af Kp s kontroller, procedurer og kontrolmål fra 2015, når konsolideringen er fuldført. 3.2 Beskrivelse af interne kontroller på virksomhedsniveau Komponenterne i den interne kontrol Denne sektion beskriver de fem komponenter, der tilsammen udgør rammerne for den interne kontrol hos Kp Kontrolmiljø Kontrolmiljøet omfatter den overordnede organisering, governance, politikker og procedurer samt definerer den grundlæggende holdning i organisationen til interne kontroller Kontrolaktiviteter Aktiviteterne omfatter de politikker og processer, der skal sikre, at beslutninger og tiltag vedtaget af ledelsen bliver udført og forankret i organisationen Information og Kommunikation Komponenten indbefatter såvel formelle som uformelle og automatiserede systemer, der sikrer identifikation, indfangelse og udveksling af information, der form- og tidsmæssigt tillader, at medarbejdere i organisationen er i stand til at udføre deres arbejde på tilfredsstillende vis Monitorering Monitering omfatter processer, der sikrer, at kvaliteten af kontrollerne opretholdes og overholder fastsatte kvalitetsmål over tid Risikovurdering Metode til identificering og analyse af risici, der kan have indflydelse på organisationens mål og virke og danner basis for, hvorledes man imødekommer og håndterer disse risici Kontrolmiljø Komponenterne for Kp's interne kontrol indeholder kontroller, der kan have gennemgribende og vedvarende effekt på organisationen som helhed eller på processer, applikationer, interaktions- og transaktionsmønstre. Visse kontrolkomponenter vil relatere sig til organisationen, hvor andre vil være relaterede til specifikke processer eller applikationer. Side 8 af 28

9 Kontrolmiljøet er fastlagt med reference i ISO rammeværket og omfatter den overordnede organisering, governance, politikker og procedurer samt definerer den grundlæggende holdning i organisationen til interne kontroller Organisationens struktur Kp's it-driftsorganisation er overordnet opdelt i to hovedfunktioner: Advice og Service, som er samlet under en fælles ledelse og med fælles administration. Roller og ansvar for de enkelte organisatoriske enheder er klart og entydigt defineret som vist nedenfor, og medarbejdernes organisatoriske tilhørsforhold danner grundlag for tildeling af autorisationer. Direktionen Advice Service Administration Ledelse, strategi, salg og forretningsudvikling. Denne afdeling udgør projektorganisationen i Kp. Advice varetager design, implementering, testdokumentation og integrationer for kunderne. Gennem analyse, brede kompetencer og mange certificeringer inden for et bredt spektrum af teknologiområder sikres, at Kp's medarbejdere kan levere stabil og driftssikre løsninger til kunderne. Service har ansvaret for at opretholde og varetage den daglige drift af kundernes systemer, herunder Service Desk og supportfunktionerne. Gennem overvågning af platform og services muliggøres proaktiv handling og klarlægning af mulige forbedringspunkter i kundemes it-miljøer. Omfatter her som begreb/afgrænsning: Kvalitet, kontrakthåndtering og andre administrative opgaver, der er forankret som en del af afdelingen BizDev. Ud over ovenstående afdelinger og ansvarsområder har Kp afdelinger for økonomi og salg, der begge er ledet af direktionen Governance Bestyrelsen Bestyrelsen udstikker de overordnede rammer for virksomheden, herunder rammerne for risikostyring. Bestyrelsen mødes som minimum kvartalsvis og behandler risikostyring som fast dagsordenspunkt ved alle møder. Kp lægger vægt på, at bestyrelsen til enhver tid har en sammensætning, der sikrer, at relevante kompetencer og erfaring er repræsenteret i tilstrækkelig grad. Direktionen Direktionen består af den administrerende direktør og selskabets Chief Technology Officer (CTO), som mødes dagligt. Direktionen er overordnet ansvarlig for udarbejdelse af politikker og sikring af, at disse implementeres i organisationen, herunder at de underbygges af nødvendige procedurer og kontroller, samt at medarbejderne forstår, accepterer og efterlever såvel politikkerne som de underliggende procedurer og kontroller. De prak- Side 9 af 28

10 tiske opgaver i relation til implementering og understøtning kan uddelegeres til ledergruppen eller den øvrige organisation, men det overordnede ansvar forbliver i direktionen. Direktionen fastlægger ansvar og bemyndigelser for de enkelte grupper eller medarbejdere i organisationen og bestemmer godkendelseshierarkier samt regler og procedurer for rapportering, Ledergruppen Ledergruppen i forbindelse med denne erklærings afgrænsning består af repræsentanter fra hver af de funktionelle enheder: Repræsentanter for Advice: o Konsulentchef Repræsentant for Service: o Servicechef Repræsentanter for Direktionen og Administrationen: o Administrerende direktør o CTO o BizDev Chef Ledergruppen har ansvaret for at implementere de nødvendige foranstaltninger for at understøtte den strategi, der er udstukket af bestyrelsen, samt de politikker, som direktionen har vedtaget. Ledergruppen mødes minimum én gang om måneden Human Resources (HR) politikker og praksis HR-politikker og -praksis vedrører ansættelse, orientering, uddannelse, evaluering, rådgivning, forfremmelse og kompensering af personalet. Personalets kompetencer og integritet er væsentlige elementer for Kp's kontrolmiljø. Organisationens evne til at rekruttere og fastholde tilstrækkeligt kompetente og ansvarlige medarbejdere er høj grad afhængig af virksomhedens politikker og praksis på HR-området. Kp lægger vægt på den kontinuerlige udvikling af kompetencerne hos virksomhedens medarbejdere og har derfor et formelt uddannelsesprogram for sine medarbejdere, hvormed Kp tilbyder relevante teknologi- og procescertificeringer. Lederne identificerer uddannelsesplaner for afdelingerne. En fortegnelse over medarbejderes kompetencer og gennemførte uddannelser opretholdes for hver enkelt medarbejder Code of conduct Holdningerne blandt ledelse og medarbejdere er afgørende for, at processer og kontroller fungerer effektivt og efter hensigten. For at understøtte tilvejebringelsen og opretholdelsen af de ønskede værdier og holdninger har virksomheden udarbejdet en formel "Code of conduct", som bl.a. omhandler vigtigheden af, at den enkelte medarbejder til enhver tid opretholder en høj integritet og agerer i overensstemmelse med virksomhedens værdier og gældende lovgivning. Side 10 af 28

11 Kp's direktion og ledergruppen anerkender sit ansvar for at fremme virksomhedens værdier og skabe de ønskede holdninger blandt medarbejderne. Derudover modtager de enkelte medarbejdere ved deres tiltrædelse et eksemplar af virksomhedens "Code of Conduct" Risikovurdering Risikovurdering er et kritisk punkt i Kp's interne kontrolapparat for at håndtere og løbende vurdere risici. Formålet er at identificere og klassificere de risici, der kan ramme organisationens evne til at fungere, jf. de forpligtelser, virksomheden har. Alle i ledelsen i Kp er bevidste om, at risici skal rapporteres og behandles særskilt, netop for at imødekomme og agere, jf. de rammer, der er udstukket. Der foretages en løbende vurdering og kontrol af de udfordringer, forretningen stilles over for, og disse behandles som et særskilt punkt på de månedlige ledermøder, hvor man herefter vurderer, om nye risici er opstået og dermed kræver yderligere analyse og håndtering. Såfremt en given risiko identificeres og betragtes som signifikant, bliver denne eskaleret til henholdsvis direktion og bestyrelse, og der igangsættes særskilt spor for at opdatere de relevante dokumenter og sikre mitigering i forhold til forretningen. Vurdering af risici i relation til informationssikkerhed er en integreret del af den samlede risikovurdering Monitorering Kp foretager løbende vurderinger af, om det samlede sæt af kontroller i tilstrækkeligt omfang dækker de krav, der måtte stilles fra eksterne interessenter, herunder lovmæssige krav til Kp eller Kp's kunder Information og kommunikation Information og kommunikation er en integreret del af Kp's interne kontrolsystem. Komponenten dækker over processerne, der omhandler identificering, indsamling og udveksling af information i en form og tidsramme, der er nødvendig for at styre og kontrollere virksomhedens drift. Hos Kp er information identificeret, behandlet og rapporteret af forskellige informationssystemer samt gennem samtaler med kunder, leverandører, medarbejdere og andre eksterne interessenter. 3.3 Beskrivelse af processer med tilhørende kontrolmål og -aktiviteter Overordnet styring af informationssikkerhed Kp's it-politik beskriver, hvordan man opnår adgang til, tilgår og anvender Kp's systemer og data. Itpolitikken definerer de roller og forpligtelser, som relaterer sig til anvendelse af it i Kp. Som ansat i Kp er medarbejderen selv ansvarlig for til enhver tid at være bekendt med indholdet af itpolitikken. Kp tilsikrer dette ved at kommunikere rettelser og opdateringer ud i organisation pr. og på de ugentlige afdelings- og personalemøder. Ligeledes er det en del af introduktionen af nye medarbejdere at gøre medarbejderen bekendt med, hvor it-politikken findes på Kp's intranet, og at det er medarbejderens ansvar til enhver tid at være bekendt med indholdet af it-politikken. Kp har etablerede og dokumenterede arbejdsgange, der beskriver, hvordan ansatte og deres tildelte adgangsrettigheder håndteres. Side 11 af 28

12 Relaterede kontrolmål For overordnet styring af informationssikkerheden er der etableret kontroller, som giver en rimelig grad af sikkerhed for, at der er et defineret og godkendt it-sikkerhedsniveau, samt at it-sikkerhedsniveauet er afpasset med trusselsbilledet Overvågning af underleverandører af it-driftsservices Kp anvender følgende underleverandører af it-driftsservices som led i levering af de i rapporten beskrevne services: Interxion fysisk sikkerhed GlobalConnect fysisk sikkerhed Front-safe backup Kp har ikke data placeret lokalt på kontorerne og beror sig på eksterne underleverandører af datacenterdrift til håndtering og opbevaring af alt centralt it-udstyr. Kp anmoder de eksterne leverandører om tildeling af adgang til relevant personale og adviserer leverandørerne om fratagelse af adgange i tilfælde af medarbejderes fratrædelse eller ændrede arbejdsopgaver, der ikke længere kræver adgang. Kp monitorerer de relevante leverandører ved modtagelse af revisionserklæringer fra disse leverandører og kontrollerer, at disse indeholder krav og kontroller om tilstrækkelig sikring omkring: Fysisk adgang Nødstrøm Brandsikring Klimakontrol Fugtighedsovervågning Vagtalarm Business Continuity Kontroller hos underleverandeirer er ikke omfattet af denne rapport. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at it-driftsservices leveret af eksterne leverandører overvåges i relation til etablering af tilstrækkelig og dokumenteret sikkerhed. Der indhentes én gang årligt revisionserklæringer fra væsentlige underleverandører omfattende relevante kontroller, herunder fysisk sikkerhed, adgangsforhold og backup Overordnet styring af logiske adgange Ansættelsesproces Kp har etableret formelle procedurer for ansættelse af nye medarbejdere. Side 12 af 28

13 Procedurerne beskriver bl.a., hvorledes lederen inden for hver af de respektive funktionelle grupper i organisationen afdækker behovet for yderligere ressourcer og forelægger formelle anmodninger om jobopslag til direktionen til godkendelse. Efter afsluttede interviews forelægger den relevante leder oplæg til Administrationen omkring godkendelse af ansættelse af udvalgt kandidat. Personer tilbudt en stilling i Kp vil være genstand for baggrundstjek i overensstemmelse med gældende love og regler før påbegyndelse af beskæftigelse. Baggrundskontrol kan bl.a. være dokumentation fra uddannelsesinstitutioner, legitimationsoplysninger, tidligere beskæftigelse og straffeattest samt andet, der kan have relevans for ansættelsen. Under introduktionsforløbet modtager den nye medarbejder en informationspakke, der indeholder en oversigt over Kp s personalepolitikker og procedurer. Denne informationspakke omfatter: Ansættelseskontrakt Non disclosure agreement Gennemgang af medarbejderhåndbogen Code of Conduct-folder Medarbejderne medgiver i kraft af underskrift af deres ansættelseskontrakt, at de har pligt til at være bekendt med indholdet af alle relevante materialer Performance- og kompetencestyring Kp har en formel præstationsvurderingsproces. Ledere bliver bedt om at drøfte ydeevne, forventninger og mål med hver enkelt medarbejder mindst én gang om året. Ledere er også stærkt opfordret til at have løbende, uformelle samtaler med medarbejderne om deres præstationer i løbet af året Tildeling af adgang og rettigheder til ansatte Ved ansættelse af ny medarbejder igangsætter lederen for den relevante afdeling processen for nye medarbejdere ved at rette henvendelse til Administrationen. Ud fra en skabelon oprettes et kontrolskema, der indeholder alle de aktiviteter, der skal afvikles, før ansættelsen kan betragtes som endelig. Der udpeges en ansvarlig for hver aktivitet, og denne information påføres arket. Ved færdiggørelse af hver aktivitet markeres denne som udført. Eksempler på aktiviteter kan være: Indhentning og kontrol af straffeattest Udlevering af id-kort Udlevering af nøgler/adgangsbrik mv. Når alle aktiviteter er udført, arkiveres kontrolarket i medarbejderens personalemappe. Efter arbejdsgangen for ny medarbejder er igangsat, modtager Service en change herom med instrukser om, hvilke adgange og rettigheder medarbejderen skal have. Eksempelvis oprettes en ny medarbejder i Service med adgange til CRM/ITSM-systemerne, "Service postkassen", "Proces postkassen", "Monitor postkassen", "Timeregistrering" etc. Alle adgange, der tildeles, er bundet op på medarbejderens Active Directorykonto. Side 13 af 28

14 Når Service modtager en change på oprettelse af en ny medarbejder med dertilhørende instrukser om rettighedstildeling, kontrollerer Service, at kilden til change er en leder med korrekte beføjelser til at afgive en sådan change. Der opereres med funktionsadskillelse, således at bestillende/forespørgende, godkendende og udførende part ikke er samme person. I tilfælde af, at en medarbejder opsiger sin stilling eller bliver afskediget, igangsattes modsvarende arbejdsgang med dertilhørende kontrolark, der sikrer, at tildelte rettigheder og adgange samt udleveret hardware og andre Kp-effekter fratages den fratrædende medarbejder Periodisk gennemgang af brugere Kp foretager årlig kontrolgennemgang af egne brugere i Active Directory for at sikre, at der ikke forefindes aktive brugere, som burde være de-aktiveret. Når kunden underretter Kp om, at en medarbejder er fratrådt sin stilling, iværksætter Kp dertil etablerede processer, som omhandler de-aktivering af brugeren på kundens systemer. Ligeledes gennemgås alle brugere på alle kunders systemer dog begrænset til de systemer, der er omfattet af Kp s aftale med kunden med faste og aftalte mellemrum, hvorved kunden har mulighed for at validere, at det kun er de rette brugere, der har adgang og er aktive Password- og auditpolitikker Kp har internt implementeret password-politik, opsamling af logs og auditkontrol til at sikre, at brugeres anvendelse af privilegerede adgange og tildelte rettigheder på systemerne sker i henhold til fastlagte procedurer og sikkerhedspolitikker. Logningsniveau er defineret i it-politikken. Kp tilstræber, at kunders it-systemer er tilstrækkeligt beskyttet. Derfor rådgiver Kp altid kunden omkring anvendelse af password-politikker og konfiguration heraf, herunder gældende best practices for brugen af stærke passwords. Ydermere får kunden minimum årligt den gældende opsætning af password samt login audit policy med en opfordring til en samtale om, hvorvidt de gældende policies stadig lever op til de behov og sikkerhedskrav, der stilles til kundens forretning Tildeling af fjernadgang Ansatte i Kp kan tildeles fjernadgang, da det ofte forekommer, at medarbejdere skal foretage arbejde, der skal udføres fra en ekstern lokation. Til at opnå fjernadgang anvendes enten et program, der sikrer, at klienten er godkendt til at foretage fjernadgang, eller en personlig "USB token" Tildeling af administratorrettigheder Ansatte i Kp tildeles administratorrettigheder (local admin) over den arbejdsstation, de får stillet til rådighed af Kp. Dette skyldes naturen af det arbejde, brugere i Kp udfører, og de anvendte værktøjer. Administratorrettigheder til Active Directory-domænet (domain admin) tildeles kun udvalgte medarbejdere. Side 14 af 28

15 I forlængelse af ovenstående: Local admin: Administratorrettigheder er tildelt således, at brugeren har fuld kontrol over arbejdsstationen. Domain admin: Administratorrettigheder er tildelt således, at brugeren har fuld kontrol over alle maskiner i domænet, herunder servere. Domain admin har rettigheder og privilegier, der er begrænset til de(t) (sub)domæne, de er tildelt for Sikkerhed og overvågning på netværket Kp har sikret de interne netværk ved hjælp af fysiske firewall-appliances, som har til formål at sikre netværket imod uautoriseret indtrængen og andre uønskede elementer som fx internetvira og orme. Kp anvender forskellige netværk til forskellige formål: Gæstenetværk: Separeret VLAN, som gæster i Kp anvender, når de er på besøg på kontorerne. Gæste-VLAN er beskyttet ved tidsbegrænset passwords. Admin-netværk: Det primære netværk, som ansatte i Kp er tilkoblet. Kp's egne servere er placeret i et sikret datacenter på en ekstern lokation. Kommunikation mellem Kp og datacenteret foregår via krypterede netværkstunneller. Kp har implementeret centralt administreret antivirus- og malware-softwareløsning. Softwaren er installeret på samtlige Windows-baserede enheder på netværket, hvor de ansatte har administrative privilegier, og hvor kunden ikke har fravalgt implementering af dette af hensyn til kundens systemer. Der er fra administrationsserveren etableret baselines, der bestemmer definitionsopdaterings- og scanningsintervaller samt opsamling af log fra klienterne på netværket. For at sikre og lukke softwarebaserede sårbarheder på systemerne har Kp etableret processer for opdatering af servere, således at styresystem (OS) samt programmer opdateres løbende med faste intervaller og på en kontrolleret metode. Dette sikrer, at der ikke opstår uhensigtsmæssigheder, fx i form af kompatibilitetsproblemer som følge af en opdatering. Alle ændringer i opsætning af netværk eller sikkerhedsforanstaltninger skal testes, godkendes og dokumenteres, jf. den alment gældende change management-proces Patch Management Som del af den driftsplatform, som udbydes af Kp, er servere og services omfattet af etablerede processer og kontroller omkring planlagt opdatering af OS og tredjepartsprogrammer. Servere gennemgås månedligt for opdateringer til både OS og tredjepartsprogrammer eller efter nærmere aftale med den pågældende kunde. Tredjepartsprogrammer inkluderer, men er ikke begrænset til: Adobe Flash Player, Adobe Reader og Java JRE. Større programrettelsespakker (Service Packs) er underlagt change management-procedurer samt test og endelig godkendelse af kunden, inden disse installeres. Side 15 af 28

16 Relaterede kontrolmål Der er etableret kontroller, som giver rimelig sikkerhed for, at adgang til information og infrastruktur er begrænset til korrekt autoriserede personer og programmer Ændringshåndtering Kp har etableret en formel change management-proces. Processen sikrer gennemsigtighed og sporbarhed i forhold til udførte ændringer på driftsplatformen og de af Kp's kunders systemer, som Kp har driftsansvaret for. En overordnet beskrivelse af denne proces følger nedenfor. Generelt er der to kilder til Request for Change (RFC): 1. RFC oprettes af Kp-konsulent afledt som følge af opgave i forbindelse med support eller fejlretning på kunders systemer eller på driftsplatformen, herunder notifikationer (Events) fra Kp's overvågningsværktøj: Klestrup CloudAlerter. 2. Bemyndigede personer hos kunden indgiver RFC med ønske om ændring af funktionalitet eller konfiguration af kundens systemer, for hvilke Kp har driftsansvaret. Processen dikterer, at forespørgende, godkendende og udførende part ikke må være samme person, således at krav til funktionsadskillelse overholdes. Når RFC er godkendt, modtager udførende part notifikation herom, hvorefter arbejdet påbegyndes. Når arbejdet er udført, foretages en test af det udførte. Omfanget af testen skaleres efter typen og kompleksiteten af ændringen. Når der er udført test af ændringen med positivt resultat i henhold til testkrav, kan denne godkendes. Når arbejdet er udført, og dokumentation er udført på tilfredsstillende vis, lukkes RFC til fakturering og administrativ behandling. Alle ændringer på driftsmiljøet dokumenteres i relevante systemer. Ændringer i logiske rettigheder registreres i service management-systemet (CRM/ITSM). Konfigurationsændringer dokumenteres i Configuration Management Databasen (CMDB). Change management-processen sikrer derved, at al driftsdokumentation kontinuerligt holdes opdateret. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at ændringer af såvel eksisterende som nye løsninger er behørigt autoriseret, dokumenteret, testet og godkendt Sikring af informationsrelaterede aktiver Som led i at sikre kontinuert tilgængelighed, integritet og fortrolighed omkring informationsrelaterede aktiver har Kp implementeret backup-processer for håndtering af backup af data. Kp benytter software designet til de virtualiseringsplatforme, Kp anvender til at tage backup af servere og de data, der forefindes herpå. Denne software transmitterer via krypterede linjer data til en ekstern lokation og opbevares krypteret. Der er etableret formaliserede og dokumenterede processer for, hvordan den anvendte Side 16 af 28

17 software installeres. Der foretages daglige kontroller for, om alle backupjobs er gennemført korrekt. Ligeledes er der etableret procedurer for igangsætning af arbejdsgange i tilfælde af fejl på backupjobs. For at sikre valide data i backup foretages periodisk genetablering, som efterprøves for validitet. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at processene angående backup og gendannelse af data er tilfredsstillende og i overensstemmelse med kunders SLA og Kp s kontraktuelle forpligtelser i den forbindelse Driftsovervågning og alarmering Som en del af den driftsplatform, Kp udbyder, tilbyder Kp serverovervågning gennem produktet "Klestrup CloudAlerter", som er med til at sikre, at nedbrud, fejl og driftsforstyrrelser for både servere og services bliver opdaget i tide, hvilket giver den bedste mulighed for at reagere og afhjælpe fejl hurtigt og smidigt Hændelses- og problemhåndtering For at sikre, at alle incidents bliver behandlet i overensstemmelse med de SLA, Kp har indgået med Kp's kunder, har Kp etableret formaliserede procedurer for, hvordan incidents behandles. Incidents vil blive modtaget enten via telefon, Kp Serviceportal eller . Service Desk/1st line support registrerer sagen i ITSM og klassificerer henvendelsen, jf. gældende SLA og problemets art. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at problemer, der er opstået i driftsmiljøet, bliver registreret, klassificeret, undersøgt, overvåget og løst Asset management Kp har registreret alle væsentlige it-aktiver i en række systemer: 1. Kp admin Kp admin er et centralt administrativt værktøj for og håndterer server-/switch-/netværksinstanser inkl. IP-konfiguration m.m. 2. ITSM-systemet ITSM er Kp s service management-platform, der indeholder oplysninger om SLA, Configuration Items (CI) og CMDB-data til den daglige driftsafvikling. 3. SourceSafe SourceSafe er Kp s centrale software-repository. Alle de softwareløsninger, Kp vedligeholder, har udviklet og løbende vedligeholder, er alle gemt på denne platform. Dette er inkl. løbende udviklingshistorik m.m. Side 17 af 28

18 4. SharePoint SharePoint-platformen hos Kp er delt op i to dele: en projektdel og en generel del. Den generelle platform er inddelt i en række kundeområder og indeholder således den dokumentation, der måtte udestå, når kildekode og IP-konfiguration er håndteret. 5. Inventar- og anlægskartotek (C5/Navision) Yderligere it-aktiver og eventuelle rettigheder m.m. er registeret i Kp s ERP-system: C5/Navision i henholdsvis balancen og lagermodulet. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at alle informationsrelaterede aktiver er identificeret, at disse er blevet klassificeret, og at en systemejer med ansvar for aktiverne er udpeget. Kontroller giver også rimelig sikkerhed for, at retningslinjer for accepteret brug af alle informationsrelaterede aktiver foreligger og er tilgængelige for relevant personale. Side 18 af 28

19 4 Beskrivelse af kontrolmål, nøglekontroller samt resultat af udført arbejde I dette afsnit beskrives de af Kp definerede kontrolmål og de nøglekontroller, som sikrer opnåelse af de enkelte kontrolmål. Herudover beskrives de af EY udførte faktiske tests af Kp s kontroller samt resultaterne af de udførte test. 4.1 Udførte tests Vores test omfatter udførelse af handlinger for at opnå bevis for oplysningerne i Kp s beskrivelse af deres system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af vores vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er dækkende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige, for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. 1. Overordnet styring af informationssikkerhed Kontrolmål: Der er etableret kontroller, som giver en rimelig grad af sikkerhed for, at der er et defineret og godkendt it-sikkerhedsniveau, samt at sikkerhedsniveauet er baseret på selskabets risikovurderinger. Kontrol Kontroller beskrevet af Tests udført af EY Resultat af udførte tests nr. Klestrup partners A/S 1.1 Der er udarbejdet en itsikkerhedspolitik Vi har indhentet den gældende Ingen relevante bemærkninger. godkendt af selskabets ledelse. it-politik og verifice- ret, at denne er godkendt af selskabets ledelse. 1.2 Der foretages periodisk og mindst én gang om året opdatering af risikovurderingen i relation til forretningens mål. Vi har ved forespørgsler og inspektion af den seneste risikovurdering konstateret, at denne er opdateret inden for erklæringsperioden. Ingen relevante bemærkninger. Side 19 af 28

20 2. Overvågning af leverandører Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at services leveret af eksterne leverandører overvåges i relation til etablering af tilstrækkelig og dokumenteret sikkerhed. Kontrol Kontroller beskrevet af Tests udført af EY Resultat af udførte tests nr. Klestrup partners A/S 2.1 Der indhentes én gang årligt revisionserklæringer fra væsentlige underleverandører omfattende relevante kontroller, herunder fysisk sikkerhed, adgangsforhold og backup. Vi har via inspektion af revisionserklæringer konstateret, at Kp har indhentet ISAE 3402 type 2- erklæringer fra underleverandørerne Front-safe, Interxion og GlobalConnect, samt at disse indeholder fysisk sikkerhed, adgangsforhold og backup. Vi har konstateret, at Kp ved review af erklæringen af Front-safe har konstateret, at erklæringsperioden ikke dækker hele 2014, og Kp derfor har rettet henvendelse til Front-safe for at få bekræftet, at der ikke er væsentlige forhold, som vil influere på driften. Ingen yderligere relevante bemærkninger. Side 20 af 28

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium 18. juni 2015 BILAG 1 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

Kommissorium for revisionsudvalget i TDC A/S

Kommissorium for revisionsudvalget i TDC A/S 2. februar 2012 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen for

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer.

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer. Thrane & Thranes bestyrelse har nedsat en revisionskomite. Revisionskomitéen Revisionskomiteens medlemmer er: Morten Eldrup-Jørgensen (formand og uafhængigt medlem med ekspertise inden for blandt andet

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Bilag 7: Aftale om drift

Bilag 7: Aftale om drift Bilag 7: Aftale om drift Udbud af E-rekrutteringssystem Aftale om drift mellem REGION SYDDANMARK (i det følgende kaldet Kunden ) og Bilag 7 Aftale om drift 3 7.1 Indledning

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2013 August 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 15. august 2014 Formål Vi har i perioden

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

ITIL Foundation-eksamen

ITIL Foundation-eksamen ITIL Foundation-eksamen Prøveopgave A, version 5.1 Multiple choice Vejledning 1. Alle 40 spørgsmål bør forsøges besvaret. 2. Alle svar skal markeres på det vedlagte svarark. 3. Du har 1 time til at løse

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret Maj 2015 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 18. maj

Læs mere

Region Midtjylland Proces for Change Management

Region Midtjylland Proces for Change Management Region Midtjylland Proces for Change Management Version 1.1 Forord Dette dokument beskriver RMIT s Change Management proces. Processen beskriver minimumskravene (need to have) for at få processen til at

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR

KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR. 14 70 22 04 1 Indholdsfortegnelse 1 Sammensætning... 3 2 Formand... 3 3 Valgperiode... 3 4 Beslutningsdygtighed og stemmeafgivelse...

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

Bilag 15 Leverandørkoordinering

Bilag 15 Leverandørkoordinering Bilag 15 Leverandørkoordinering Version 0.8 26-06-2015 Indhold 1 VEJLEDNING TIL TILBUDSGIVER... 2 2 INDLEDNING... 3 3 LEVERANDØRENS ANSVAR... 4 4 LEVERANDØRENS KOORDINERINGS- OG SAMARBEJDSFORPLIGTELSE...

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 12 - Ændringshåndtering

Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 12 - Ændringshåndtering Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet Bilag 12 - Ændringshåndtering 12.05.2016 Version 1.0 [Vejledning til tilbudsgiver: Bilaget er i sin helhed at betragte som et mindstekrav

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Revisionsprotokollat af 27. marts 2011

Revisionsprotokollat af 27. marts 2011 KPMG Statsautoriseret Revisionspartnerselskab AUDIT Borups Allé 177 Postboks 250 2000 Frederiksberg Telefon 38 18 30 00 Telefax 72 29 30 30 www.kpmg.dk Revisionsprotokollat af 27. marts 2011 til årsrapporten

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

Kommissorium for revisionsudvalg i DSB. 1. Formål. Revisionsudvalgets opgaver er følgende:

Kommissorium for revisionsudvalg i DSB. 1. Formål. Revisionsudvalgets opgaver er følgende: Kommissorium for revisionsudvalg i DSB 1. Formål Revisionsudvalgets opgaver er følgende: At underrette bestyrelsen om resultatet af den lovpligtige revision, herunder regnskabsaflæggelsesprocessen, at

Læs mere

Kommisorium for revisionskomite

Kommisorium for revisionskomite Kommisorium for revisionskomite Kristian Wulf-Andersen Copyright 2. november 2011 Trifork A/S Side 1 af 9 Versionering Version Dato Forfatter Ændring 0.1.0 2009-05-26 KWA Oprettelse og første version til

Læs mere

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Business Data A/S Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Version 3.0.1 (senest redigeret 20. november 2014) Indhold 1. Generelt... 2 2. Definitioner...

Læs mere

MELLEM. 2300 København S. (herefter SKI )

MELLEM. 2300 København S. (herefter SKI ) BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden

Læs mere

Proces for Problem Management

Proces for Problem Management Regionen - It-stabens Kvalitetshåndbog - 7 Drift - 7.02 Problem Management It-stabens Kvalitetshåndbog Udskrevet er dokumentet ikke dokumentstyret. Proces for Problem Management Niveau: Proces Dokumentbrugere:

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Forberedelse og planlægning af GMP Audit

Forberedelse og planlægning af GMP Audit Forberedelse og planlægning af GMP Audit Juli, 2014 Indledning I de kommende sider får du nogle hurtige tips og råd til din forberedelse og planlægning af en GMP audit. Dette er ikke en komplet og grundig

Læs mere

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010.

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010. It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud Region Midtjylland 2010. 1 1 Indledning 1.1 Versionshistorie Version Dato Ansvarlig Status Beskrivelse 1.0 2010-05-04 HENSTI Lukket Definition

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Bilag om bogføring. Indhold. 1. Indledning

Bilag om bogføring. Indhold. 1. Indledning Indhold 1. Indledning... 1 1.1 Generelt... 2 1.2 Definitioner... 2 1.2.1 Regnskabsmateriale... 2 1.2.2 Bilag... 2 1.2.3 Godkendelse... 2 2. Periodisering og transaktionsprincippet... 2 3. Konteringsprincip...

Læs mere

Infoblad. ISO/TS 16949 - Automotive

Infoblad. ISO/TS 16949 - Automotive Side 1 af 5 ISO/TS 16949 - Automotive Standarden ISO/TS 16949 indeholder særlige krav gældende for bilindustrien og for relevante reservedelsvirksomheder. Standardens struktur er opbygget som strukturen

Læs mere

Kommissorium for bestyrelsens revisionsudvalg.

Kommissorium for bestyrelsens revisionsudvalg. Kommissorium for bestyrelsens revisionsudvalg. Introduktion Introduktion Nærværende kommissorium kan anvendes som inspiration til udarbejdelse af kommissorier for revisionsudvalg etableret som selvstændige

Læs mere

www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor

www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor Pr. 1. januar 2015 Indholdsfortegnelse 1. Tiltrædelse som revisor 3 1.1. Indledning 3 1.2. Opgaver og ansvar 3 1.2.1. Ledelsen 3 1.2.2.

Læs mere

Comendo Remote Backup. Service Level Agreement

Comendo Remote Backup. Service Level Agreement Comendo Remote Backup Service Level Agreement Side 2 af 7 Indholdsfortegnelse Service Level Agreement... 1 Indholdsfortegnelse... 2 Introduktion... 3 Comendo Remote Backup ansvar og forpligtelser... 3

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

Bilag. Region Midtjylland. Bilag til Kasse og regnskabsregulativet - Retningslinier for intern kontrol. til Regionsrådets møde den 12.

Bilag. Region Midtjylland. Bilag til Kasse og regnskabsregulativet - Retningslinier for intern kontrol. til Regionsrådets møde den 12. Region Midtjylland Bilag til Kasse og regnskabsregulativet - Retningslinier for intern kontrol Bilag til Regionsrådets møde den 12. december 2007 Punkt nr. 48 Regionshuset Viborg Regionsøkonomi Regnskabskontoret

Læs mere

Danske Forsikringsfunktionærers Landsforening

Danske Forsikringsfunktionærers Landsforening Danske Forsikringsfunktionærers Landsforening CVR-nr. 55 09 94 13 Revisionsprotokollat af 21. februar 2014 (side 40-43) vedrørende årsregnskabet for 2013 Indholdsfortegnelse Side 1. Revision af årsregnskabet

Læs mere

Understøttelse af LSS til NemID i organisationen

Understøttelse af LSS til NemID i organisationen Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Kommissorium for risiko- og revisionsudvalget i Den Jyske Sparekasse

Kommissorium for risiko- og revisionsudvalget i Den Jyske Sparekasse 1. Indledning På bestyrelsesmødet den 12. marts 2009 besluttede bestyrelsen for at nedsætte et revisionsudvalg samt at indstille valg af formand og udvalgets honorering til repræsentantskabets godkendelse

Læs mere

Sotea A/S 19. april 2016 version 1.0 1

Sotea A/S 19. april 2016 version 1.0 1 version 1.0 1 1.... 3 2.... 3 3.... 4 4.... 5 5.... 5 6.... 6 7.... 6 version 1.0 2 1. Nærværende Service Level Agreement dokumenterer det aftalte serviceniveau, og beskriver kundens garanti i forbindelse

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Regnskabserklæring til revisor for Business Faxe Copenhagen. Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres:

Regnskabserklæring til revisor for Business Faxe Copenhagen. Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres: Beierholm Bregentvedvej 22 4690 Haslev Regnskabserklæring til revisor for Business Faxe Copenhagen Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres: Revision af årsregnskabet

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Online Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md

Online Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md Online Backup U ndgå hovedbrud hvis uheldet er ude! Med en hosted online backup løsning hos, er dine data i sikkerhed. Du kan derfor glemme alt om båndskifte og opbevaring af backup-bånd. Med online backup

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Kommissorium for Revisionsudvalget. Danske Bank A/S CVR-nr

Kommissorium for Revisionsudvalget. Danske Bank A/S CVR-nr Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28 1 Anvendelsesområde og formål 1.1 I dette kommissorium fastsættes Danske Banks Revisionsudvalgs opgaver og beføjelser. 1.2 Revisionsudvalget

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28 Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28 1 Anvendelsesområde og formål 1.1 I dette kommissorium fastsættes Danske Banks Revisionsudvalgs opgaver og beføjelser. 1.2 Revisionsudvalget

Læs mere

Frørup Andelskasse. Redegørelse vedrørende - Finansrådets Ledelseskodeks 2014 - Udarbejdet 2. januar 2015

Frørup Andelskasse. Redegørelse vedrørende - Finansrådets Ledelseskodeks 2014 - Udarbejdet 2. januar 2015 Frørup Andelskasse Redegørelse vedrørende - Finansrådets Ledelseskodeks 2014 - Udarbejdet 2. januar 2015 1 Indledning: Det fremgår nedenfor, hvorledes Frørup Andelskasse forholder sig til Finansrådets

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Kommissorium for revisionsudvalget

Kommissorium for revisionsudvalget Kommissorium for revisionsudvalget Vestas Wind Systems A/S Kommissorium for revisionsudvalget 1 Indholdsfortegnelse Rolle 3 Formål 3 Medlemmer Ansvarsområder 3 4 Møder 6 Beslutningsdygtighed Vederlag til

Læs mere