Klestrup partners A/S. ISAE 3402 type 2-erklæring

Størrelse: px
Starte visningen fra side:

Download "Klestrup partners A/S. ISAE 3402 type 2-erklæring"

Transkript

1 Klestrup partners A/S ISAE 3402 type 2-erklæring Generelle it-kontroller i tilknytning til drift af Windows-systemer for perioden 1. januar december 2014 Side 1 af 28

2 Indhold 1 Ledelsens udsagn Revisionserklæring Beskrivelse af generelle it-kontroller Overblik og beskrivelse af omfattede services Beskrivelse af interne kontroller på virksomhedsniveau Komponenterne i den interne kontrol Kontrolmiljø Risikovurdering Monitorering Information og kommunikation Beskrivelse af processer med tilhørende kontrolmål og -aktiviteter Overordnet styring af informationssikkerhed Overvågning af underleverandører af it-driftsservices Overordnet styring af logiske adgange Ændringshåndtering Sikring af informationsrelaterede aktiver Driftsovervågning og alarmering Asset management Beskrivelse af kontrolmål, nøglekontroller samt resultat af udført arbejde Udførte tests Komplementære kontroller hos brugerorganisationer Side 2 af 28

3 1 Ledelsens udsagn Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt den af Klestrup partners A/S (herefter Kp) udbudte driftsplatform baseret på Windows-teknologi. Beskrivelsen er tiltænkt modtagere, som har en tilstrækkelig forståelse til at vurdere beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. Kp har i perioden anvendt Front-safe A/S, Interxion A/S og GlobalConnect A/S som underleverandører af backup og fysisk sikkerhed. Beskrivelsen inkluderer udelukkende kontroller og kontrolmål for processer og kontroller, som håndteres af Kp, og indeholder således ikke kontroller og kontrolmål, som vedrører kontroller og processer, der håndteres af de omtalte underleverandører. Kp bekræfter, at: 1. Den medfølgende beskrivelse giver en dækkende beskrivelse af den af Kp udbudte driftsplatform for Windows i hele perioden fra 1. januar 2014 til 31. december Kriterierne for dette udsagn er, at den medfølgende beskrivelse: a) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: I. de typer af ydelser, der er leveret, herunder behandlede grupper af transaktioner, når det er relevant II. hvordan systemet behandlede andre betydelige begivenheder og forhold end transaktioner III. processen, der blev anvendt til at udarbejde rapporter til kunder IV. relevante kontrolmål og kontroller udformet til at nå disse mål V. kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå VI. andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder de tilknyttede forretningsgange), kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner. b) indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra 1. januar 2014 til 31. december 2014 c) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert Side 3 af 28

4 aspekt ved systemet, som den enkelte kunde måtte anse for vigtigt efter deres særlige forhold. 2. De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. januar 2014 til 31. december Kriterierne for dette udsagn var, at: a) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret b) de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål c) kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. januar 2014 til 31. december København, den 20. februar 2015 Klestrup partners A/S Jeppe Andersen Direktør, CEO Side 4 af 28

5 2 Revisionserklæring Til: Klestrup partners A/S Omfang Vi har fået som opgave at afgive erklæring om Klestrup partners A/S beskrivelse af den af Klestrup partners A/S udbudte Windows-driftsplatform i hele perioden fra 1. januar 2014 til 31. december 2014 (beskrivelsen) og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Klestrup partners A/S anvender Front-safe A/S, Interxion A/S og GlobalConnect A/S som underleverandør af backup og fysisk sikkerhed. Beskrivelsen inkluderer udelukkende kontroller og kontrolmål for processer og kontroller, som håndteres af Klestrup partners A/S, og indeholder således ikke kontroller og kontrolmål, som vedrører kontroller og processer, der håndteres af Front-safe A/S, Interxion A/S og GlobalConnect A/S. Klestrup partners A/S ansvar Klestrup partners A/S er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektiviteten af kontroller for at nå de anførte kontrolmål. Serviceleverandørens revisors ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Klestrup partners A/S beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB, og yderligere krav ifølge dansk revisorlovgivning. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er dækkende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er dækkende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsning i kontroller hos en serviceleverandør Klestrup partners A/S beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Side 5 af 28

6 Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i Klestrup partners A/S udsagn. Det er vores opfattelse, at (a) (b) (c) beskrivelsen af den af Klestrup partners A/S udbudte Windows-driftsplatform, således som den var udformet og implementeret i hele perioden fra 1. januar december 2014, i alle væsentlige henseender er dækkende kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar december 2014 de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået, i alle væsentlige henseender har fungeret effektivt i hele perioden fra 1. januar december Beskrivelse af test af kontroller De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse test fremgår af afsnittet Beskrivelse af kontrolmål, kontroller samt resultat af udført arbejde. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller er udelukkende tiltænkt kunder, der har anvendt den af Klestrup partners A/S udbudte Windows-driftsplatform og deres revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. København, den 20. februar 2015 Ernst & Young Godkendt Revisionspartnerselskab Thomas Kühn statsautoriseret revisor, CISA Jesper Due Sørensen senior manager, CISA Side 6 af 28

7 3 Beskrivelse af generelle it-kontroller Nedenstående beskriver de generelle it-kontroller i relation til den af Kp udbudte Windows-driftsplatform. 3.1 Overblik og beskrivelse af omfattede services Kp er etableret i 2003 og har kontorer i København og Aarhus. Virksomheden leverer hosting og it-drift samt tilknyttede services, såsom systemudvikling og rådgivning som "Platform-as-a-Service" til kunder inden for en bred vifte af brancher, herunder, men ikke begrænset til: Energi og forsyning Pharma og medico Arkitekter og tegnestuer Finansielle institutioner Revisorer Webbureauer Offentlige institutioner Kp tilbyder en it-driftsplatform, der ligeledes understøtter en bred vifte af teknologier, så den kan dække de fleste kunders behov på en effektiv, sikker og hensigtsmæssig måde. For at sikre såvel en stabil drift som opretholdelse af systemers og datas fortrolighed, troværdighed og tilgængelighed har Kp med udgangspunkt i principperne for Information Technology Infrastructure Library version 3 (ITIL) og best practices tilrettelagt processer og kontroller, der modsvarer de vurderede forretningsmæssige behov. Denne rapport omfatter den af Kp udbudte Windows-driftsplatform samt de hertil knyttede services, omfattende: Driftsovervågning Håndtering af sikkerhed, herunder: o Logiske adgange o Password-sikkerhed o Overvågning o Patch management Backup Ændringshåndtering De pågældende områder er yderligere beskrevet i det følgende. Side 7 af 28

8 Erklæringen er herudover afgrænset af følgende: 1. De omtalte kontroller og kontrolmål omfatter kun Kp s organisation i forbindelse med levering af itdriftsservices. Dette medfører, at Kp s softwareudviklingsafdeling (Component) og tilhørende selskaber ikke er omfattet af nærværende erklæring. 2. Kunder og aftaler fra det med Kp fusionerede selskab IT Company A/S (herefter ITC) er en del af konsolideringen af driftsplatformene hos GlobalConnect, hvorfor disse kunder og aftaler ikke er en del af denne erklæring. Det er planlagt, at disse kunder bliver omfattet af Kp s kontroller, procedurer og kontrolmål fra 2015, når konsolideringen er fuldført. 3.2 Beskrivelse af interne kontroller på virksomhedsniveau Komponenterne i den interne kontrol Denne sektion beskriver de fem komponenter, der tilsammen udgør rammerne for den interne kontrol hos Kp Kontrolmiljø Kontrolmiljøet omfatter den overordnede organisering, governance, politikker og procedurer samt definerer den grundlæggende holdning i organisationen til interne kontroller Kontrolaktiviteter Aktiviteterne omfatter de politikker og processer, der skal sikre, at beslutninger og tiltag vedtaget af ledelsen bliver udført og forankret i organisationen Information og Kommunikation Komponenten indbefatter såvel formelle som uformelle og automatiserede systemer, der sikrer identifikation, indfangelse og udveksling af information, der form- og tidsmæssigt tillader, at medarbejdere i organisationen er i stand til at udføre deres arbejde på tilfredsstillende vis Monitorering Monitering omfatter processer, der sikrer, at kvaliteten af kontrollerne opretholdes og overholder fastsatte kvalitetsmål over tid Risikovurdering Metode til identificering og analyse af risici, der kan have indflydelse på organisationens mål og virke og danner basis for, hvorledes man imødekommer og håndterer disse risici Kontrolmiljø Komponenterne for Kp's interne kontrol indeholder kontroller, der kan have gennemgribende og vedvarende effekt på organisationen som helhed eller på processer, applikationer, interaktions- og transaktionsmønstre. Visse kontrolkomponenter vil relatere sig til organisationen, hvor andre vil være relaterede til specifikke processer eller applikationer. Side 8 af 28

9 Kontrolmiljøet er fastlagt med reference i ISO rammeværket og omfatter den overordnede organisering, governance, politikker og procedurer samt definerer den grundlæggende holdning i organisationen til interne kontroller Organisationens struktur Kp's it-driftsorganisation er overordnet opdelt i to hovedfunktioner: Advice og Service, som er samlet under en fælles ledelse og med fælles administration. Roller og ansvar for de enkelte organisatoriske enheder er klart og entydigt defineret som vist nedenfor, og medarbejdernes organisatoriske tilhørsforhold danner grundlag for tildeling af autorisationer. Direktionen Advice Service Administration Ledelse, strategi, salg og forretningsudvikling. Denne afdeling udgør projektorganisationen i Kp. Advice varetager design, implementering, testdokumentation og integrationer for kunderne. Gennem analyse, brede kompetencer og mange certificeringer inden for et bredt spektrum af teknologiområder sikres, at Kp's medarbejdere kan levere stabil og driftssikre løsninger til kunderne. Service har ansvaret for at opretholde og varetage den daglige drift af kundernes systemer, herunder Service Desk og supportfunktionerne. Gennem overvågning af platform og services muliggøres proaktiv handling og klarlægning af mulige forbedringspunkter i kundemes it-miljøer. Omfatter her som begreb/afgrænsning: Kvalitet, kontrakthåndtering og andre administrative opgaver, der er forankret som en del af afdelingen BizDev. Ud over ovenstående afdelinger og ansvarsområder har Kp afdelinger for økonomi og salg, der begge er ledet af direktionen Governance Bestyrelsen Bestyrelsen udstikker de overordnede rammer for virksomheden, herunder rammerne for risikostyring. Bestyrelsen mødes som minimum kvartalsvis og behandler risikostyring som fast dagsordenspunkt ved alle møder. Kp lægger vægt på, at bestyrelsen til enhver tid har en sammensætning, der sikrer, at relevante kompetencer og erfaring er repræsenteret i tilstrækkelig grad. Direktionen Direktionen består af den administrerende direktør og selskabets Chief Technology Officer (CTO), som mødes dagligt. Direktionen er overordnet ansvarlig for udarbejdelse af politikker og sikring af, at disse implementeres i organisationen, herunder at de underbygges af nødvendige procedurer og kontroller, samt at medarbejderne forstår, accepterer og efterlever såvel politikkerne som de underliggende procedurer og kontroller. De prak- Side 9 af 28

10 tiske opgaver i relation til implementering og understøtning kan uddelegeres til ledergruppen eller den øvrige organisation, men det overordnede ansvar forbliver i direktionen. Direktionen fastlægger ansvar og bemyndigelser for de enkelte grupper eller medarbejdere i organisationen og bestemmer godkendelseshierarkier samt regler og procedurer for rapportering, Ledergruppen Ledergruppen i forbindelse med denne erklærings afgrænsning består af repræsentanter fra hver af de funktionelle enheder: Repræsentanter for Advice: o Konsulentchef Repræsentant for Service: o Servicechef Repræsentanter for Direktionen og Administrationen: o Administrerende direktør o CTO o BizDev Chef Ledergruppen har ansvaret for at implementere de nødvendige foranstaltninger for at understøtte den strategi, der er udstukket af bestyrelsen, samt de politikker, som direktionen har vedtaget. Ledergruppen mødes minimum én gang om måneden Human Resources (HR) politikker og praksis HR-politikker og -praksis vedrører ansættelse, orientering, uddannelse, evaluering, rådgivning, forfremmelse og kompensering af personalet. Personalets kompetencer og integritet er væsentlige elementer for Kp's kontrolmiljø. Organisationens evne til at rekruttere og fastholde tilstrækkeligt kompetente og ansvarlige medarbejdere er høj grad afhængig af virksomhedens politikker og praksis på HR-området. Kp lægger vægt på den kontinuerlige udvikling af kompetencerne hos virksomhedens medarbejdere og har derfor et formelt uddannelsesprogram for sine medarbejdere, hvormed Kp tilbyder relevante teknologi- og procescertificeringer. Lederne identificerer uddannelsesplaner for afdelingerne. En fortegnelse over medarbejderes kompetencer og gennemførte uddannelser opretholdes for hver enkelt medarbejder Code of conduct Holdningerne blandt ledelse og medarbejdere er afgørende for, at processer og kontroller fungerer effektivt og efter hensigten. For at understøtte tilvejebringelsen og opretholdelsen af de ønskede værdier og holdninger har virksomheden udarbejdet en formel "Code of conduct", som bl.a. omhandler vigtigheden af, at den enkelte medarbejder til enhver tid opretholder en høj integritet og agerer i overensstemmelse med virksomhedens værdier og gældende lovgivning. Side 10 af 28

11 Kp's direktion og ledergruppen anerkender sit ansvar for at fremme virksomhedens værdier og skabe de ønskede holdninger blandt medarbejderne. Derudover modtager de enkelte medarbejdere ved deres tiltrædelse et eksemplar af virksomhedens "Code of Conduct" Risikovurdering Risikovurdering er et kritisk punkt i Kp's interne kontrolapparat for at håndtere og løbende vurdere risici. Formålet er at identificere og klassificere de risici, der kan ramme organisationens evne til at fungere, jf. de forpligtelser, virksomheden har. Alle i ledelsen i Kp er bevidste om, at risici skal rapporteres og behandles særskilt, netop for at imødekomme og agere, jf. de rammer, der er udstukket. Der foretages en løbende vurdering og kontrol af de udfordringer, forretningen stilles over for, og disse behandles som et særskilt punkt på de månedlige ledermøder, hvor man herefter vurderer, om nye risici er opstået og dermed kræver yderligere analyse og håndtering. Såfremt en given risiko identificeres og betragtes som signifikant, bliver denne eskaleret til henholdsvis direktion og bestyrelse, og der igangsættes særskilt spor for at opdatere de relevante dokumenter og sikre mitigering i forhold til forretningen. Vurdering af risici i relation til informationssikkerhed er en integreret del af den samlede risikovurdering Monitorering Kp foretager løbende vurderinger af, om det samlede sæt af kontroller i tilstrækkeligt omfang dækker de krav, der måtte stilles fra eksterne interessenter, herunder lovmæssige krav til Kp eller Kp's kunder Information og kommunikation Information og kommunikation er en integreret del af Kp's interne kontrolsystem. Komponenten dækker over processerne, der omhandler identificering, indsamling og udveksling af information i en form og tidsramme, der er nødvendig for at styre og kontrollere virksomhedens drift. Hos Kp er information identificeret, behandlet og rapporteret af forskellige informationssystemer samt gennem samtaler med kunder, leverandører, medarbejdere og andre eksterne interessenter. 3.3 Beskrivelse af processer med tilhørende kontrolmål og -aktiviteter Overordnet styring af informationssikkerhed Kp's it-politik beskriver, hvordan man opnår adgang til, tilgår og anvender Kp's systemer og data. Itpolitikken definerer de roller og forpligtelser, som relaterer sig til anvendelse af it i Kp. Som ansat i Kp er medarbejderen selv ansvarlig for til enhver tid at være bekendt med indholdet af itpolitikken. Kp tilsikrer dette ved at kommunikere rettelser og opdateringer ud i organisation pr. og på de ugentlige afdelings- og personalemøder. Ligeledes er det en del af introduktionen af nye medarbejdere at gøre medarbejderen bekendt med, hvor it-politikken findes på Kp's intranet, og at det er medarbejderens ansvar til enhver tid at være bekendt med indholdet af it-politikken. Kp har etablerede og dokumenterede arbejdsgange, der beskriver, hvordan ansatte og deres tildelte adgangsrettigheder håndteres. Side 11 af 28

12 Relaterede kontrolmål For overordnet styring af informationssikkerheden er der etableret kontroller, som giver en rimelig grad af sikkerhed for, at der er et defineret og godkendt it-sikkerhedsniveau, samt at it-sikkerhedsniveauet er afpasset med trusselsbilledet Overvågning af underleverandører af it-driftsservices Kp anvender følgende underleverandører af it-driftsservices som led i levering af de i rapporten beskrevne services: Interxion fysisk sikkerhed GlobalConnect fysisk sikkerhed Front-safe backup Kp har ikke data placeret lokalt på kontorerne og beror sig på eksterne underleverandører af datacenterdrift til håndtering og opbevaring af alt centralt it-udstyr. Kp anmoder de eksterne leverandører om tildeling af adgang til relevant personale og adviserer leverandørerne om fratagelse af adgange i tilfælde af medarbejderes fratrædelse eller ændrede arbejdsopgaver, der ikke længere kræver adgang. Kp monitorerer de relevante leverandører ved modtagelse af revisionserklæringer fra disse leverandører og kontrollerer, at disse indeholder krav og kontroller om tilstrækkelig sikring omkring: Fysisk adgang Nødstrøm Brandsikring Klimakontrol Fugtighedsovervågning Vagtalarm Business Continuity Kontroller hos underleverandeirer er ikke omfattet af denne rapport. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at it-driftsservices leveret af eksterne leverandører overvåges i relation til etablering af tilstrækkelig og dokumenteret sikkerhed. Der indhentes én gang årligt revisionserklæringer fra væsentlige underleverandører omfattende relevante kontroller, herunder fysisk sikkerhed, adgangsforhold og backup Overordnet styring af logiske adgange Ansættelsesproces Kp har etableret formelle procedurer for ansættelse af nye medarbejdere. Side 12 af 28

13 Procedurerne beskriver bl.a., hvorledes lederen inden for hver af de respektive funktionelle grupper i organisationen afdækker behovet for yderligere ressourcer og forelægger formelle anmodninger om jobopslag til direktionen til godkendelse. Efter afsluttede interviews forelægger den relevante leder oplæg til Administrationen omkring godkendelse af ansættelse af udvalgt kandidat. Personer tilbudt en stilling i Kp vil være genstand for baggrundstjek i overensstemmelse med gældende love og regler før påbegyndelse af beskæftigelse. Baggrundskontrol kan bl.a. være dokumentation fra uddannelsesinstitutioner, legitimationsoplysninger, tidligere beskæftigelse og straffeattest samt andet, der kan have relevans for ansættelsen. Under introduktionsforløbet modtager den nye medarbejder en informationspakke, der indeholder en oversigt over Kp s personalepolitikker og procedurer. Denne informationspakke omfatter: Ansættelseskontrakt Non disclosure agreement Gennemgang af medarbejderhåndbogen Code of Conduct-folder Medarbejderne medgiver i kraft af underskrift af deres ansættelseskontrakt, at de har pligt til at være bekendt med indholdet af alle relevante materialer Performance- og kompetencestyring Kp har en formel præstationsvurderingsproces. Ledere bliver bedt om at drøfte ydeevne, forventninger og mål med hver enkelt medarbejder mindst én gang om året. Ledere er også stærkt opfordret til at have løbende, uformelle samtaler med medarbejderne om deres præstationer i løbet af året Tildeling af adgang og rettigheder til ansatte Ved ansættelse af ny medarbejder igangsætter lederen for den relevante afdeling processen for nye medarbejdere ved at rette henvendelse til Administrationen. Ud fra en skabelon oprettes et kontrolskema, der indeholder alle de aktiviteter, der skal afvikles, før ansættelsen kan betragtes som endelig. Der udpeges en ansvarlig for hver aktivitet, og denne information påføres arket. Ved færdiggørelse af hver aktivitet markeres denne som udført. Eksempler på aktiviteter kan være: Indhentning og kontrol af straffeattest Udlevering af id-kort Udlevering af nøgler/adgangsbrik mv. Når alle aktiviteter er udført, arkiveres kontrolarket i medarbejderens personalemappe. Efter arbejdsgangen for ny medarbejder er igangsat, modtager Service en change herom med instrukser om, hvilke adgange og rettigheder medarbejderen skal have. Eksempelvis oprettes en ny medarbejder i Service med adgange til CRM/ITSM-systemerne, "Service postkassen", "Proces postkassen", "Monitor postkassen", "Timeregistrering" etc. Alle adgange, der tildeles, er bundet op på medarbejderens Active Directorykonto. Side 13 af 28

14 Når Service modtager en change på oprettelse af en ny medarbejder med dertilhørende instrukser om rettighedstildeling, kontrollerer Service, at kilden til change er en leder med korrekte beføjelser til at afgive en sådan change. Der opereres med funktionsadskillelse, således at bestillende/forespørgende, godkendende og udførende part ikke er samme person. I tilfælde af, at en medarbejder opsiger sin stilling eller bliver afskediget, igangsattes modsvarende arbejdsgang med dertilhørende kontrolark, der sikrer, at tildelte rettigheder og adgange samt udleveret hardware og andre Kp-effekter fratages den fratrædende medarbejder Periodisk gennemgang af brugere Kp foretager årlig kontrolgennemgang af egne brugere i Active Directory for at sikre, at der ikke forefindes aktive brugere, som burde være de-aktiveret. Når kunden underretter Kp om, at en medarbejder er fratrådt sin stilling, iværksætter Kp dertil etablerede processer, som omhandler de-aktivering af brugeren på kundens systemer. Ligeledes gennemgås alle brugere på alle kunders systemer dog begrænset til de systemer, der er omfattet af Kp s aftale med kunden med faste og aftalte mellemrum, hvorved kunden har mulighed for at validere, at det kun er de rette brugere, der har adgang og er aktive Password- og auditpolitikker Kp har internt implementeret password-politik, opsamling af logs og auditkontrol til at sikre, at brugeres anvendelse af privilegerede adgange og tildelte rettigheder på systemerne sker i henhold til fastlagte procedurer og sikkerhedspolitikker. Logningsniveau er defineret i it-politikken. Kp tilstræber, at kunders it-systemer er tilstrækkeligt beskyttet. Derfor rådgiver Kp altid kunden omkring anvendelse af password-politikker og konfiguration heraf, herunder gældende best practices for brugen af stærke passwords. Ydermere får kunden minimum årligt den gældende opsætning af password samt login audit policy med en opfordring til en samtale om, hvorvidt de gældende policies stadig lever op til de behov og sikkerhedskrav, der stilles til kundens forretning Tildeling af fjernadgang Ansatte i Kp kan tildeles fjernadgang, da det ofte forekommer, at medarbejdere skal foretage arbejde, der skal udføres fra en ekstern lokation. Til at opnå fjernadgang anvendes enten et program, der sikrer, at klienten er godkendt til at foretage fjernadgang, eller en personlig "USB token" Tildeling af administratorrettigheder Ansatte i Kp tildeles administratorrettigheder (local admin) over den arbejdsstation, de får stillet til rådighed af Kp. Dette skyldes naturen af det arbejde, brugere i Kp udfører, og de anvendte værktøjer. Administratorrettigheder til Active Directory-domænet (domain admin) tildeles kun udvalgte medarbejdere. Side 14 af 28

15 I forlængelse af ovenstående: Local admin: Administratorrettigheder er tildelt således, at brugeren har fuld kontrol over arbejdsstationen. Domain admin: Administratorrettigheder er tildelt således, at brugeren har fuld kontrol over alle maskiner i domænet, herunder servere. Domain admin har rettigheder og privilegier, der er begrænset til de(t) (sub)domæne, de er tildelt for Sikkerhed og overvågning på netværket Kp har sikret de interne netværk ved hjælp af fysiske firewall-appliances, som har til formål at sikre netværket imod uautoriseret indtrængen og andre uønskede elementer som fx internetvira og orme. Kp anvender forskellige netværk til forskellige formål: Gæstenetværk: Separeret VLAN, som gæster i Kp anvender, når de er på besøg på kontorerne. Gæste-VLAN er beskyttet ved tidsbegrænset passwords. Admin-netværk: Det primære netværk, som ansatte i Kp er tilkoblet. Kp's egne servere er placeret i et sikret datacenter på en ekstern lokation. Kommunikation mellem Kp og datacenteret foregår via krypterede netværkstunneller. Kp har implementeret centralt administreret antivirus- og malware-softwareløsning. Softwaren er installeret på samtlige Windows-baserede enheder på netværket, hvor de ansatte har administrative privilegier, og hvor kunden ikke har fravalgt implementering af dette af hensyn til kundens systemer. Der er fra administrationsserveren etableret baselines, der bestemmer definitionsopdaterings- og scanningsintervaller samt opsamling af log fra klienterne på netværket. For at sikre og lukke softwarebaserede sårbarheder på systemerne har Kp etableret processer for opdatering af servere, således at styresystem (OS) samt programmer opdateres løbende med faste intervaller og på en kontrolleret metode. Dette sikrer, at der ikke opstår uhensigtsmæssigheder, fx i form af kompatibilitetsproblemer som følge af en opdatering. Alle ændringer i opsætning af netværk eller sikkerhedsforanstaltninger skal testes, godkendes og dokumenteres, jf. den alment gældende change management-proces Patch Management Som del af den driftsplatform, som udbydes af Kp, er servere og services omfattet af etablerede processer og kontroller omkring planlagt opdatering af OS og tredjepartsprogrammer. Servere gennemgås månedligt for opdateringer til både OS og tredjepartsprogrammer eller efter nærmere aftale med den pågældende kunde. Tredjepartsprogrammer inkluderer, men er ikke begrænset til: Adobe Flash Player, Adobe Reader og Java JRE. Større programrettelsespakker (Service Packs) er underlagt change management-procedurer samt test og endelig godkendelse af kunden, inden disse installeres. Side 15 af 28

16 Relaterede kontrolmål Der er etableret kontroller, som giver rimelig sikkerhed for, at adgang til information og infrastruktur er begrænset til korrekt autoriserede personer og programmer Ændringshåndtering Kp har etableret en formel change management-proces. Processen sikrer gennemsigtighed og sporbarhed i forhold til udførte ændringer på driftsplatformen og de af Kp's kunders systemer, som Kp har driftsansvaret for. En overordnet beskrivelse af denne proces følger nedenfor. Generelt er der to kilder til Request for Change (RFC): 1. RFC oprettes af Kp-konsulent afledt som følge af opgave i forbindelse med support eller fejlretning på kunders systemer eller på driftsplatformen, herunder notifikationer (Events) fra Kp's overvågningsværktøj: Klestrup CloudAlerter. 2. Bemyndigede personer hos kunden indgiver RFC med ønske om ændring af funktionalitet eller konfiguration af kundens systemer, for hvilke Kp har driftsansvaret. Processen dikterer, at forespørgende, godkendende og udførende part ikke må være samme person, således at krav til funktionsadskillelse overholdes. Når RFC er godkendt, modtager udførende part notifikation herom, hvorefter arbejdet påbegyndes. Når arbejdet er udført, foretages en test af det udførte. Omfanget af testen skaleres efter typen og kompleksiteten af ændringen. Når der er udført test af ændringen med positivt resultat i henhold til testkrav, kan denne godkendes. Når arbejdet er udført, og dokumentation er udført på tilfredsstillende vis, lukkes RFC til fakturering og administrativ behandling. Alle ændringer på driftsmiljøet dokumenteres i relevante systemer. Ændringer i logiske rettigheder registreres i service management-systemet (CRM/ITSM). Konfigurationsændringer dokumenteres i Configuration Management Databasen (CMDB). Change management-processen sikrer derved, at al driftsdokumentation kontinuerligt holdes opdateret. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at ændringer af såvel eksisterende som nye løsninger er behørigt autoriseret, dokumenteret, testet og godkendt Sikring af informationsrelaterede aktiver Som led i at sikre kontinuert tilgængelighed, integritet og fortrolighed omkring informationsrelaterede aktiver har Kp implementeret backup-processer for håndtering af backup af data. Kp benytter software designet til de virtualiseringsplatforme, Kp anvender til at tage backup af servere og de data, der forefindes herpå. Denne software transmitterer via krypterede linjer data til en ekstern lokation og opbevares krypteret. Der er etableret formaliserede og dokumenterede processer for, hvordan den anvendte Side 16 af 28

17 software installeres. Der foretages daglige kontroller for, om alle backupjobs er gennemført korrekt. Ligeledes er der etableret procedurer for igangsætning af arbejdsgange i tilfælde af fejl på backupjobs. For at sikre valide data i backup foretages periodisk genetablering, som efterprøves for validitet. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at processene angående backup og gendannelse af data er tilfredsstillende og i overensstemmelse med kunders SLA og Kp s kontraktuelle forpligtelser i den forbindelse Driftsovervågning og alarmering Som en del af den driftsplatform, Kp udbyder, tilbyder Kp serverovervågning gennem produktet "Klestrup CloudAlerter", som er med til at sikre, at nedbrud, fejl og driftsforstyrrelser for både servere og services bliver opdaget i tide, hvilket giver den bedste mulighed for at reagere og afhjælpe fejl hurtigt og smidigt Hændelses- og problemhåndtering For at sikre, at alle incidents bliver behandlet i overensstemmelse med de SLA, Kp har indgået med Kp's kunder, har Kp etableret formaliserede procedurer for, hvordan incidents behandles. Incidents vil blive modtaget enten via telefon, Kp Serviceportal eller . Service Desk/1st line support registrerer sagen i ITSM og klassificerer henvendelsen, jf. gældende SLA og problemets art. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at problemer, der er opstået i driftsmiljøet, bliver registreret, klassificeret, undersøgt, overvåget og løst Asset management Kp har registreret alle væsentlige it-aktiver i en række systemer: 1. Kp admin Kp admin er et centralt administrativt værktøj for og håndterer server-/switch-/netværksinstanser inkl. IP-konfiguration m.m. 2. ITSM-systemet ITSM er Kp s service management-platform, der indeholder oplysninger om SLA, Configuration Items (CI) og CMDB-data til den daglige driftsafvikling. 3. SourceSafe SourceSafe er Kp s centrale software-repository. Alle de softwareløsninger, Kp vedligeholder, har udviklet og løbende vedligeholder, er alle gemt på denne platform. Dette er inkl. løbende udviklingshistorik m.m. Side 17 af 28

18 4. SharePoint SharePoint-platformen hos Kp er delt op i to dele: en projektdel og en generel del. Den generelle platform er inddelt i en række kundeområder og indeholder således den dokumentation, der måtte udestå, når kildekode og IP-konfiguration er håndteret. 5. Inventar- og anlægskartotek (C5/Navision) Yderligere it-aktiver og eventuelle rettigheder m.m. er registeret i Kp s ERP-system: C5/Navision i henholdsvis balancen og lagermodulet. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at alle informationsrelaterede aktiver er identificeret, at disse er blevet klassificeret, og at en systemejer med ansvar for aktiverne er udpeget. Kontroller giver også rimelig sikkerhed for, at retningslinjer for accepteret brug af alle informationsrelaterede aktiver foreligger og er tilgængelige for relevant personale. Side 18 af 28

19 4 Beskrivelse af kontrolmål, nøglekontroller samt resultat af udført arbejde I dette afsnit beskrives de af Kp definerede kontrolmål og de nøglekontroller, som sikrer opnåelse af de enkelte kontrolmål. Herudover beskrives de af EY udførte faktiske tests af Kp s kontroller samt resultaterne af de udførte test. 4.1 Udførte tests Vores test omfatter udførelse af handlinger for at opnå bevis for oplysningerne i Kp s beskrivelse af deres system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af vores vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er dækkende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige, for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. 1. Overordnet styring af informationssikkerhed Kontrolmål: Der er etableret kontroller, som giver en rimelig grad af sikkerhed for, at der er et defineret og godkendt it-sikkerhedsniveau, samt at sikkerhedsniveauet er baseret på selskabets risikovurderinger. Kontrol Kontroller beskrevet af Tests udført af EY Resultat af udførte tests nr. Klestrup partners A/S 1.1 Der er udarbejdet en itsikkerhedspolitik Vi har indhentet den gældende Ingen relevante bemærkninger. godkendt af selskabets ledelse. it-politik og verifice- ret, at denne er godkendt af selskabets ledelse. 1.2 Der foretages periodisk og mindst én gang om året opdatering af risikovurderingen i relation til forretningens mål. Vi har ved forespørgsler og inspektion af den seneste risikovurdering konstateret, at denne er opdateret inden for erklæringsperioden. Ingen relevante bemærkninger. Side 19 af 28

20 2. Overvågning af leverandører Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at services leveret af eksterne leverandører overvåges i relation til etablering af tilstrækkelig og dokumenteret sikkerhed. Kontrol Kontroller beskrevet af Tests udført af EY Resultat af udførte tests nr. Klestrup partners A/S 2.1 Der indhentes én gang årligt revisionserklæringer fra væsentlige underleverandører omfattende relevante kontroller, herunder fysisk sikkerhed, adgangsforhold og backup. Vi har via inspektion af revisionserklæringer konstateret, at Kp har indhentet ISAE 3402 type 2- erklæringer fra underleverandørerne Front-safe, Interxion og GlobalConnect, samt at disse indeholder fysisk sikkerhed, adgangsforhold og backup. Vi har konstateret, at Kp ved review af erklæringen af Front-safe har konstateret, at erklæringsperioden ikke dækker hele 2014, og Kp derfor har rettet henvendelse til Front-safe for at få bekræftet, at der ikke er væsentlige forhold, som vil influere på driften. Ingen yderligere relevante bemærkninger. Side 20 af 28

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret Maj 2015 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 18. maj

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

ITIL Foundation-eksamen

ITIL Foundation-eksamen ITIL Foundation-eksamen Prøveopgave A, version 5.1 Multiple choice Vejledning 1. Alle 40 spørgsmål bør forsøges besvaret. 2. Alle svar skal markeres på det vedlagte svarark. 3. Du har 1 time til at løse

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Kommissorium for bestyrelsens revisionsudvalg.

Kommissorium for bestyrelsens revisionsudvalg. Kommissorium for bestyrelsens revisionsudvalg. Introduktion Introduktion Nærværende kommissorium kan anvendes som inspiration til udarbejdelse af kommissorier for revisionsudvalg etableret som selvstændige

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Region Midtjylland Proces for Change Management

Region Midtjylland Proces for Change Management Region Midtjylland Proces for Change Management Version 1.1 Forord Dette dokument beskriver RMIT s Change Management proces. Processen beskriver minimumskravene (need to have) for at få processen til at

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Revisionsprotokollat af 27. marts 2011

Revisionsprotokollat af 27. marts 2011 KPMG Statsautoriseret Revisionspartnerselskab AUDIT Borups Allé 177 Postboks 250 2000 Frederiksberg Telefon 38 18 30 00 Telefax 72 29 30 30 www.kpmg.dk Revisionsprotokollat af 27. marts 2011 til årsrapporten

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Det europæiske kvalitetsmærke tildeles en uddannelsesinstitution efter følgende kriterier.

Det europæiske kvalitetsmærke tildeles en uddannelsesinstitution efter følgende kriterier. 2 Beskrivelse af ansøgningsformularen Denne ansøgningsformular består af et firdelt spørgeskema og et afsnit med generelle oplysninger om uddannelsesinstitutionen. Hvert af de fire afsnit ser på effektiviteten

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Dansk Træforening. Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008

Dansk Træforening. Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008 Dansk Træforening Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008 Kvæsthusgade 3 DK-1251 København K Tlf. (+45) 39 16 36 36 Fax (+45) 39 16 36 37 E-mail:copenhagen@n-c.dk Aalborg København

Læs mere

Vejledning til. Sikkerhedskvalitetsstyringssystem for driftsledelse

Vejledning til. Sikkerhedskvalitetsstyringssystem for driftsledelse Vejledning til Sikkerhedskvalitetsstyringssystem for driftsledelse 1 Forord Sikkerhedskvalitetsstyringssystem for drift af elforsyningsanlæg (SKS-driftsledelse) indeholder anvisninger på kvalitetsstyringsaktiviteter

Læs mere

Comendo Remote Backup. Service Level Agreement

Comendo Remote Backup. Service Level Agreement Comendo Remote Backup Service Level Agreement Side 2 af 7 Indholdsfortegnelse Service Level Agreement... 1 Indholdsfortegnelse... 2 Introduktion... 3 Comendo Remote Backup ansvar og forpligtelser... 3

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group

Læs mere

Triolab lægger vægt på et tæt samarbejde med kunden, sådan at de tilbudte løsninger fungerer optimalt og tilpasses kundens behov.

Triolab lægger vægt på et tæt samarbejde med kunden, sådan at de tilbudte løsninger fungerer optimalt og tilpasses kundens behov. Side 1 af 8 Indledning Triolab er et firma, der forhandler kvalitetsløsninger til laboratorier i flere segmenter. Triolab er et firma, der forestår totalløsninger. Der tilbydes support på højt fagligt

Læs mere

Miracle A/S. ISAE 3402 Type 2

Miracle A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle A/S ISAE 3402 Type

Læs mere

Bilag om bogføring. Indhold. 1. Indledning

Bilag om bogføring. Indhold. 1. Indledning Indhold 1. Indledning... 1 1.1 Generelt... 2 1.2 Definitioner... 2 1.2.1 Regnskabsmateriale... 2 1.2.2 Bilag... 2 1.2.3 Godkendelse... 2 2. Periodisering og transaktionsprincippet... 2 3. Konteringsprincip...

Læs mere

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28 Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28 1 Anvendelsesområde og formål 1.1 I dette kommissorium fastsættes Danske Banks Revisionsudvalgs opgaver og beføjelser. 1.2 Revisionsudvalget

Læs mere

"SAP" betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten.

SAP betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten. Serviceaftaleprogram for Ariba Cloud Services Garanti for Tjenestens tilgængelighed Sikkerhed Diverse 1. Garanti for Tjenestens tilgængelighed a. Anvendelighed. Garantien for tjenestens tilgængelighed

Læs mere

Forberedelse og planlægning af GMP Audit

Forberedelse og planlægning af GMP Audit Forberedelse og planlægning af GMP Audit Juli, 2014 Indledning I de kommende sider får du nogle hurtige tips og råd til din forberedelse og planlægning af en GMP audit. Dette er ikke en komplet og grundig

Læs mere

ISRS 4410 DK Assistance med regnskabsopstilling. ifølge dansk revisorlovgivning. ISRS 4410 DK Januar 2012

ISRS 4410 DK Assistance med regnskabsopstilling. ifølge dansk revisorlovgivning. ISRS 4410 DK Januar 2012 International Auditing and Assurance Standards Board Januar 2012 International Standard om beslægtede opgaver Assistance med regnskabsopstilling og yderligere krav ifølge dansk revisorlovgivning International

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014 Bilag 2A: Januar 2014 Side 1 af 5 1. Indledning... 3 2. Statusbeskrivelse... 3 3. IT infrastruktur og arkitektur... 4 3.1. Netværk - infrastruktur... 4 3.2. Servere og storage... 4 3.3. Sikkerhed... 4

Læs mere

Danske Forsikringsfunktionærers Landsforening

Danske Forsikringsfunktionærers Landsforening Danske Forsikringsfunktionærers Landsforening CVR-nr. 55 09 94 13 Revisionsprotokollat af 21. februar 2014 (side 40-43) vedrørende årsregnskabet for 2013 Indholdsfortegnelse Side 1. Revision af årsregnskabet

Læs mere

DBCsupport. Præsentation af IOS 2004

DBCsupport. Præsentation af IOS 2004 DBCsupport Præsentation af IOS 2004 Spillerne Brugere Interne brugere Eksterne brugere 1. Level IT Driftsmedarbejdere Supportmedarbejdere 2. Level IT Systemkonsulenter Udviklere Interne specialister Serviceleverandører

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum Nr. 1 16. juli 2014 Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum (Vejledning til bekendtgørelse om outsourcing af væsentlige aktivitetsområder) 1. Indledning 1.1. Kunngerð nr. 1 frá 16.

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten . spe. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten Nedenstående er opdelt i to afsnit. Første afsnit indeholder bestemmelser, der forventes indarbejdet i Samarbejdsbilaget. Andet

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

Spillemyndighedens certificeringsprogram Program for styring af systemændringer

Spillemyndighedens certificeringsprogram Program for styring af systemændringer SCP.06.00.DK.1.0 Indhold Indhold... 2 1 Formålet med program for styring af systemændringer... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 4 2.1 Certificeringsfrekvens...

Læs mere

Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter.

Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter. 1. Indledning og resume: Til bestyrelsen i Fælleskassen Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter. Formålet med denne rapportering er

Læs mere

Revisionsudvalg. Kommissorium. Skjern Bank

Revisionsudvalg. Kommissorium. Skjern Bank Revisionsudvalg Kommissorium i Skjern Bank 1 Indledning 1.1 Udvalgets arbejde, ansvar og kompetencer fastlægges i nærværende kommissorium. 1.2 Dette kommissorium gennemgås, ajourføres og godkendes årligt

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

Navit sp/f. Del A Gennemførelse

Navit sp/f. Del A Gennemførelse Den Internationale Kode for Sikker Drift af Skibe og Forebyggelse af Forurening (International Safety Management-koden (ISM-koden)) Med rettelser gældende pr. 1. juli 2010 Del A Gennemførelse 1. Generelt

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Leverings- og vedligeholdelsesvilkår for Moderniseringsstyrelsen lokale datavarehus LDV

Leverings- og vedligeholdelsesvilkår for Moderniseringsstyrelsen lokale datavarehus LDV Leverings- og vedligeholdelsesvilkår for Moderniseringsstyrelsen lokale datavarehus LDV Indhold 1. DEFINITIONER... 2 2. BAGGRUND OG FORMÅL... 2 3. MODERNISERINGSSTYRELSENS YDELSER... 3 4. INSTITUTIONENS

Læs mere

Proceduren Proceduren for en given vare eller varetype fastlægges ud fra:

Proceduren Proceduren for en given vare eller varetype fastlægges ud fra: Forudsætning for CE-mærkning En fabrikant kan først CE-mærke sit produkt og dermed få ret til frit at sælge byggevaren i alle EU-medlemsstater, når fabrikanten har dokumenteret, at varens egenskaber stemmer

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere

Frørup Andelskasse. Redegørelse vedrørende - Finansrådets Ledelseskodeks 2014 - Udarbejdet 2. januar 2015

Frørup Andelskasse. Redegørelse vedrørende - Finansrådets Ledelseskodeks 2014 - Udarbejdet 2. januar 2015 Frørup Andelskasse Redegørelse vedrørende - Finansrådets Ledelseskodeks 2014 - Udarbejdet 2. januar 2015 1 Indledning: Det fremgår nedenfor, hvorledes Frørup Andelskasse forholder sig til Finansrådets

Læs mere

Kommissorium for revisionsudvalget

Kommissorium for revisionsudvalget Kommissorium for revisionsudvalget Vestas Wind Systems A/S Kommissorium for revisionsudvalget 1 Indholdsfortegnelse Rolle 3 Formål 3 Medlemmer Ansvarsområder 3 4 Møder 6 Beslutningsdygtighed Vederlag til

Læs mere

Skema rapportering Finansrådets Ledelseskodeks 2014 Andelskassen Fælleskassen

Skema rapportering Finansrådets Ledelseskodeks 2014 Andelskassen Fælleskassen Skema rapportering Finansrådets Ledelseskodeks 2014 Andelskassen Fælleskassen Fælleskassens afrapportering af Finansrådets ledelseskodeks sker gennem anvendelse af Skemarapportering, udviklet af Lokale

Læs mere

Overdragelse til itdriftsorganisationen

Overdragelse til itdriftsorganisationen Overdragelse til itdriftsorganisationen Indhold 1. Formål med tjeklisten 3 2. Tjeklisten 5 2.1 Governance 5 2.2 Processer 5 2.3 Support af slutbrugere 6 2.4 Viden og dokumentation 8 2.5 Kontrakt, leverandørsamarbejde

Læs mere

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Bekendtgørelse om kvalitetskontrol og Revisortilsynets virksomhed

Bekendtgørelse om kvalitetskontrol og Revisortilsynets virksomhed Bekendtgørelse om kvalitetskontrol og Revisortilsynets virksomhed I medfør af 34, stk. 3, og 54, stk. 2, i lov nr. 468 af 17. juni 2008 om godkendte revisorer og revisionsvirksomheder (revisorloven), som

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0 SCP.03.00.DK.1.0 Indhold Indhold... 2 1 Formålet med ledelsessystem for informationssikkerhed... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...

Læs mere

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk DIAS 1 Infrastructure Optimization Greve Kommune Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk Agenda DIAS 2 _ Formål med IO _ Gennemgang af IO modellen _ IO analyse hos Greve Kommune _ Opsummering

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Kultur og adfærd Skab tillid til virksomhedens største aktiv

Kultur og adfærd Skab tillid til virksomhedens største aktiv www.pwc.dk Kultur og adfærd Skab tillid til virksomhedens største aktiv Medarbejderne er virksomhedens største aktiv og udgør samtidig dens største, potentielle risiko. En virksomheds kultur er defineret

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant Modtagelseserklæring Modtagelseserklæring for AAU ITS Infrastruktur version 4. Anvendelse Modtagelseserklæringen skal anvendes i forbindelse med projekter drevet af PMO, AIU eller IFS. Projektlederen er

Læs mere

Arbejdsplan for revisionsudvalget.

Arbejdsplan for revisionsudvalget. . Introduktion Nærværende model til en arbejdsplan kan anvendes som hjælp til udarbejdelse af en specifik arbejdsplan for revisionsudvalget. Formålet med arbejdsplanen er overordnet at fastlægge antallet

Læs mere

Kommissorium for revisionsudvalg

Kommissorium for revisionsudvalg Kommissorium for revisionsudvalg Bestyrelsen i Jeudan A/S har nedsat et revisionsudvalg bestående af Hans Munk Nielsen (formand), Stefan Ingildsen og Tommy Pedersen. Revisionsudvalget gennemgår regnskabs-,

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

Partner session 1. Mamut One Temadag. 12. & 13. august 2009. Antonio Bibovski

Partner session 1. Mamut One Temadag. 12. & 13. august 2009. Antonio Bibovski Partner session 1 Mamut One Temadag 12. & 13. august 2009 Antonio Bibovski Agenda Mamut ONE Leverance En god investering for dine kunder Mamut Online Desktop Installation i praksis Mamut Validis Analyseværktøj

Læs mere

Vejledning til revisionsbekendtgørelsens 1 4, stk. 2, og 13, stk. 2, om opsummering af bemærkninger i revisionsprotokollatet vedrørende årsregnskabet

Vejledning til revisionsbekendtgørelsens 1 4, stk. 2, og 13, stk. 2, om opsummering af bemærkninger i revisionsprotokollatet vedrørende årsregnskabet Finanstilsynets vejledning af 21. december 2001 Vejledning til revisionsbekendtgørelsens 1 4, stk. 2, og 13, stk. 2, om opsummering af bemærkninger i revisionsprotokollatet vedrørende årsregnskabet 1.

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Dette dokument vil gennemgå de serviceforpligtelser, som leverandøren har til kunden i forbindelse med en købsaftale, forudsat der specifikt er henvist til den korrekte versionering

Læs mere

Enkelt Nemt Effektivt Skalérbart

Enkelt Nemt Effektivt Skalérbart Enkelt Nemt Effektivt Skalérbart Overvåg hele din IT infrastruktur med ét værktøj Som IT ansvarlig er din infrastruktur lig med dit image over for interne som eksterne kunder. Din mulighed for at reagere

Læs mere

Mariendal IT - Hostingcenter

Mariendal IT - Hostingcenter ariendal IT - Hostingcenter ariendal IT - Hostingcenter ed vores topsikrede og professionelle hostingcenter tilbyder vi flere forskellige hostede løsninger I denne brochure kan du danne dig et overblik

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Corporate Governance Anbefalinger og Finansrådets anbefalinger om god selskabsledelse og ekstern revision.

Corporate Governance Anbefalinger og Finansrådets anbefalinger om god selskabsledelse og ekstern revision. Sparekassen skal i forbindelse med indkaldelsen til repræsentantskabet forholde sig til Finansrådets anbefalinger om god selskabsledelse og ekstern revision, der knytter sig til dele af Corporate Governance

Læs mere