Nianet A/S ISAE 3000-erklæring fra uafhængig revisor vedr. udvalgte kontroller relate- ret til Lov om net- og informationssik-
|
|
- Dagmar Pedersen
- 5 år siden
- Visninger:
Transkript
1 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax Nianet A/S ISAE 3000-erklæring fra uafhængig revisor vedr. udvalgte kontroller relateret til Lov om net- og informationssikkerhed for perioden 16. juni 2017 til 7. juni 2018 Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for en eller flere af Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar ( DTTL ), dets netværk af medlemsfirmaer og deres tilknyttede virksomheder. DTTL og alle dets medlemsfirmaer udgør separate og uafhængige juridiske enheder. DTTL (der også betegnes Deloitte Global ) leverer ikke selv ydelser til kunderne. Vi henviser til for en udførlig beskrivelse af DTTL og dets medlemsfirmaer.
2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax Nianet A/S Att.: Christian Holm Christensen Ejby Industrivej Glostrup Erklæring fra uafhængig revisor vedr. forhold relateret til Lov om net- og informationssikkerhed Indledning Nianet er et it-driftsselskab med fokus på datakommunikationsløsninger baseret på fiber til offentlige og private erhvervsvirksomheder. Nianet er landsdækkende og ejer fiber til mere end unikke adresser. Som en væsentlig udbyder af datakommunikationsløsninger i Danmark er Nianet underlagt bekendtgørelse om beredskabsaktørers adgang til elektronisk kommunikation nr. 564 af 1. juni 2016, bekendtgørelse om sikkerhedsgodkendelse af medarbejdere på net- og informationssikkerhedsområdet nr. 565 af 1. juni 2016, bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed nr. 566 af 1. juni 2016 og bekendtgørelse om informationssikkerhed og beredskab i net og tjenester nr. 567 af 1. juni 2016 i Lov om net- og informationssikkerhed fra Forsvarsministeriet (herefter NIS-loven). Nianets ledelse har beskrevet de væsentligste politikker og procedurer, som ledelsen finder relevante i forhold til overholdelse af bekendtgørelsernes krav i Bilag 1 samt de kontrolmål og kontroller, som ledelsen vurderer relevante i tilknytning hertil i Bilag 2. Erklæringen omfatter gennemgang af, hvorvidt den af ledelsen udarbejdede systembeskrivelse i Bilag 1 samt de i Bilag 2 beskrevne kontroller er retvisende i forhold til de faktisk implementerede kontroller og procedurer, samt hvorvidt disse har fungeret i perioden fra d. 16. juni 2017 til d. 7. juni Denne erklæring omfatter ikke kontroller relateret til underleverandører. Ledelsens ansvar Det er ledelsens ansvar at identificere relevante kontrolmål til afdækning af relevante sikkerhedskrav og sikre, at de relevante kontroller, der understøtter overholdelse af kravene i NIS-loven, var hensigtsmæssigt udformet og implementeret i perioden fra d. 16. juni 2017 til d. 7. juni Revisors ansvar og den udførte gennemgang Det er vores ansvar, baseret på vores procedurer, at udtrykke en konklusion om Nianets beskrivelse, og hvorvidt vi er enige i, at de af ledelsen etablerede kontroller til overholdelse af kravene i NIS-loven var hensigtsmæssigt udformet og implementeret i perioden fra d. 16. juni 2017 til d. 7. juni 2018.
3 De kriterier, som vi har lagt til grund for vores vurdering af, hvorvidt de udvalgte kontroller, der knytter sig til de af ledelsen identificerede kontrolmål, i alle væsentlige henseender var hensigtsmæssigt udformet og implementeret i perioden fra d. 16. juni 2017 til d. 7. juni 2018, er som følger: a) De risici, som truede overholdelsen af de kontrolmål, der er anført i bilag 2, var identificeret af ledelsen. b) De af ledelsen identificerede kontroller ville, hvis anvendt som beskrevet, give en høj grad af sikkerhed for, at de pågældende risici ikke ville forhindre opnåelsen af de anførte kontrolmål. Vores arbejde er udført i overensstemmelse med revisionsstandard ISAE 3000, således at der opnås en høj, men ikke fuldstændig grad af sikkerhed for vores konklusioner. En erklæringsopgave med sikkerhed om at afgive erklæring om udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de udvalgte kontroller, der knytter sig til de af ledelsen identificerede kontrolmål, blev nået. Vi har overholdt kravene til uafhængighed og andre etiske krav i IESBA s Etiske regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Deloitte anvender ISQC 1 og opretholder derfor et omfattende system til kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav i lov og øvrig regulering. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, som vi har anvendt ved udformningen af konklusionen, er de kriterier, som er anført i ovenstående. På grundlag af det udførte arbejde er det vores opfattelse, at den af Nianet udarbejdede systembeskrivelse i bilag 1 med tilhørende beskrivelse af relaterede kontrolmål og kontroller i bilag 2 i det væsentligste er retvisende i forhold til de faktisk etablerede procedurer og kontroller, og at disse har været implementeret og har fungeret effektivt i perioden fra d. 16. juni 2017 til d. 7. juni København, den Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Thomas Kühn statsautoriseret revisor Jesper Due Sørensen partner, CISA 2
4 Bilag 1 Systembeskrivelse fra Nianet Introduktion Denne beskrivelse er udfærdiget med det formål at give information omkring de kontroller, der anvendes i forhold til levering af datakommunikationsløsninger samt omkring de kontroller, der anvendes relateret til NIS-loven. Omfang Beskrivelsen omfatter de ydelser, der leveres af Nianet, og fokuserer på kontrolmål, der er relevante for de interne kontroller, som relaterer sig til NIS-loven og specifikke yderligere kontraktuelt aftalte kontroller for Nianets kunder. Beskrivelsen omfatter de forretningsprocesser og kontrolmål, som Nianet har fastslået som væsentlige for deres kunder ud fra et informationssikkerhedsmæssigt synspunkt. Ledelsen i Nianet er ansvarlig for identifikation af kontrolmål og for manuelle og automatiske kontroller, der er sat i drift med henblik på at opnå disse mål. Dette inkluderer den informationsteknologi og infrastruktur, der understøttes af Nianets driftsorganisation. Beskrivelsen er udarbejdet med henblik på at omfatte størstedelen af Nianets kunder. Derfor vil der blive fokuseret på de processer og kontroller, der anvendes i fælles standardiserede processer. Specifikke kontroller i forbindelse med krav i EU persondataforordning (GDPR) er som udgangspunkt ikke omfattet af denne beskrivelse. Beskrivelse af Nianet Nianet er et it-driftsselskab (informations- og kommunikationsteknologi) med fokus på datakommunikationsløsninger baseret på fiber til offentlige og private erhvervsvirksomheder. Nianet er blandt de største udbydere på det danske marked. Nianet er landsdækkende og ejer fiber til mere end unikke adresser via mange tusind kilometer fiber. Nianet blev etableret i maj 2003 og er til d. 8. juni 2018 ejet af 13 danske energiselskaber fordelt over hele landet. Pr. 8. juni 2018 er Nianet solgt til GlobalConnect A/S, Hørskætten 3-5, 2630 Taastrup. It-services Nianet leverer datakommunikationsløsninger, co-location samt cloudløsninger. Ydelserne inkluderer bl.a.: MPLS VPN Internettrafik Managed LAN Sort og grå fiber DSL-forbindelser Internationale forbindelser Co-location/housing Private Cloud, Virtuel Server og flere typer backup-løsninger bl.a. Backup as a Service (BaaS) Hosted firewall og selfmanaged Firewall Anti-DDoS-løsninger Hardware og Software VPN. Systembeskrivelsen omfatter kontrolaspekter, som relaterer sig til informationssikkerhed, risikostyring og beredskab og sigter mod efterlevelse af NIS-loven m.v. 3
5 Rammeværk System- og kontrolbeskrivelsen er baseret på den internationale informationssikkerhedsstandard ISO/IEC 27001, Lov om net- og informationssikkerhed og de fire bekendtgørelser, som regulerer NISloven, samt endelig forretningsmæssige krav i de ydelser, der tilbydes af Nianet, herunder: Fysisk og logisk sikring Risikostyring Beredskab. Kontrolmiljø, risikovurdering og monitorering Nianets kontrolmiljø reflekterer den stilling, som ledelsen har taget til betydningen af kontroller, og den vægt, der lægges på kontroller i politikker, processer, procedurer, metoder og organisatorisk struktur. Følgende beskriver Nianets kontrolmiljø, og Nianets leverancer af it-services: Ansvar, Nianets direktion og bestyrelse Nianets organisationsstruktur Risikostyring. Ansvar, Nianets bestyrelse og direktion Nianet ejes indtil d. 8. juni 2018 af 13 danske energiselskaber, der har indsat en bestyrelse bestående af: Bestyrelsesformand Rune Nygaard Bech Pedersen Seks menige bestyrelsesmedlemmer Fire medarbejdervalgte medlemmer. Nianets bestyrelse mødes mindst en gang per kvartal for at drøfte: Forretningsplaner og -strategi Økonomiske resultater Observationer og anbefalinger Resultater fra ekstern revision - når disse foreligger. Nianets direktion har det ultimative ansvar for overholdelse af Nianets politikker herunder informationssikkerhedspolitikken. Nianets direktion mødes ugentligt, og her drøftes visse strategiske oplæg og alle spørgsmål af taktisk og operationel karakter, overordnede politikker og overordnede processer altså helt almindelig daglig ledelse af en virksomhed i stærk vækst med 150 medarbejdere. Nianets direktion ser ud som følger: Administrerende direktør Rasmus Helmich Økonomidirektør Søren Fæster Nielsen Salgs- og marketingdirektør Peter Sandahl Torp Leverancedirektør - Mette Slesvig Teknisk direktør Per Skovgaard Rosen. Pr. den 8. juni 2018 overgår ejerskab af Nianet til GlobalConnect, og der er fra denne dato indsat en bestyrelse og direktion bestående af: Bestyrelsesformand Pernille Ravn Menigt bestyrelsesmedlem Mikkel Bønnelycke Menigt bestyrelsesmedlem Kent Vinhardt Josephsen Menigt bestyrelsesmedlem Christian Holm Christensen Menigt bestyrelsesmedlem Thomas Caspersen Nielsen 4
6 Medarbejdervalgt medlem Karsten Lykke Høvdinghoff Medarbejdervalgt medlem Carsten Jørgensen Medarbejdervalgt medlem Martin Hein Lippert Medarbejdervalgt medlem Søren Kristensen Medarbejdervalgt medlem Thomas Guvad (suppleant) Medarbejdervalgt medlem Iben Nielsen (suppleant) Medarbejdervalgt medlem Morten Dejgaard Birkelund (suppleant) Administrerende direktør Christian Holm Christensen Nianet er placeret med hovedkontor i Glostrup og en afdeling i Skanderborg samt fem datacentre i henholdsvis Glostrup, Taastrup, Vallensbæk, Skanderborg og Århus. Risikostyring Risikovurdering Ledelsen mødes regelmæssigt for at diskutere forretningsrisici inklusive økonomiske og teknologiske risici. Tillige mødes alle ledere regelmæssigt med personalet for at drøfte udeståender i forbindelse med teamets arbejde. På årsbasis gennemfører Nianets sikkerhedsorganisation en risikovurdering af Nianets aktiver, baseret på ISO/IEC Den anvendte model til vurdering af risici omfatter en vurdering af konsekvens, sandsynlighed, sårbarhed og etablerede foranstaltninger. Processen tager både eksterne og interne faktorer og trusler i betragtning tillige med ledelsens evne til at fokusere på disse faktorers påvirkning af driften. Risikoanalysen indeholder ledelsesvurdering og håndtering af risiko. It-sikkerhedspolitik og sikringsplaner Der er på baggrund af risikovurdering og sårbarhedsanalyse udarbejdet it-sikkerhedspolitik, sikringsplaner, processer og procedurer, der har til formål at imødegå identificerede risici. Nianets sikringsplaner inkluderer planer til at sikre, at særligt kritiske dele af virksomhedens administrative systemer, infrastruktur herunder datacentre og større POPs (Point-Of-Presence) har en lav sårbarhed. Sikringsplanerne testes og vedligeholdes i henhold til en fastlagt og godkendt testplan. Itsikkerhedspolitik, sikringsplaner, processer og procedurer revurderes årligt i sammenhæng med den årlige risikovurdering samt under hensyntagen til resultaterne af udførte tests. Eksterne leverandører Nianet kræver på baggrund af Lov om net- og informationssikkerhed, at alle underleverandører efterlever de stillede krav. Nianet har udarbejdet en formel aftale, der specificerer krav til efterlevelse. Alle leverandører skal underskrive aftalen. Overvågning og kommunikation Nianet overvåger og registrerer brud på it-sikkerhed samt persondatasikkerhed gennem en formelt dokumenteret incident management-proces. Alle incidents registreres og dokumenteres i et sagsstyringssystem. Registrering og dokumentation for incidents gemmes i systemet. Ved hændelser informeres slutbrugere og styrelser i henhold til BEK 566 (bekendtgørelse om oplysningsog underretningspligter vedrørende net- og informationssikkerhed) gennem en incident managementproces. Alle hændelser af høj prioritet rapporteres gennem processen til CTO, der er ansvarlig for at informere og rapportere til slutbrugere, kunder og offentlig myndighed og Nianets direktion. Påbud og informationer fra offentlige myndigheder og styrelser overvåges af Nianets kontaktpunkt til offentlige myndigheder samt af CTO. 5
7 Beredskab Beredskabs- og kriseplaner Nianet har på baggrund af årligt udførte risikovurderinger udarbejdet og implementeret beredskabspolitik og beredskabsplaner til efterlevelse af BEK 564 og 567. Beredskabsplaner og politik indeholder sikring af alle områder specificeret i bekendtgørelser og i den udarbejdede risikovurdering. Nianet har udarbejdet beredskabsplaner for fysisk skade på alle væsentlige lokationer og en krisehåndteringsplan, der er fælles for alle større incidents, herunder større trusler i henhold til BEK 567. Beredskabsplaner revurderes årligt i forbindelse med risikoanalysen. Beredskabsøvelser Nianet har på baggrund af krav i BEK udarbejdet en femårig testplan, der indeholder beredskabstest af alle væsentlige dele af beredskabet. Testplanen revurderes årligt sammen med revurdering af beredskabsplaner. Sikkerhed Der foreligger politikker, procesbeskrivelser, procedurer og arbejds- og kontrolbeskrivelser af væsentlige og kritiske områder vedrørende fysisk og logisk sikkerhed. Sikkerhed, fysisk adgang Nianet A/S har implementeret formelle politikker, procesbeskrivelser og procedurer med henblik på adgangskontrol til systemer, faciliteter og datacentre. Disse politikker mv. definerer de niveauer af adgang, der er tilladt iht. klassifikation af medarbejdere og beskriver de tiltag og tilladelser, der er krævet i forhold til at opnå og overvåge adgang. Administration af adgangskontrol Datacenterindgange er sikret af elektroniske læsere af adgangskort, som er forbundet med et centralt ADK-system. Adgang til datacentre administreres ud fra arbejdsopgaver og klassifikation af Nianets Network Operations Center (NOC). Det kræves, at kunden giver detaljer om det niveau af adgange, der rekvireres, tillige med behørig tilladelse, før adgangskort udarbejdes og udleveres. Der udstedes personlige adgangskort med tilhørende personlig, hemmelig adgangskode. Kunder med adgang til datacentre har udelukkende adgang til eget aflåst rackskab eller område. Overvågning Adgange til datacentre er udstyret med alarmer og overvåges med videokameraer. Videoaktivitet overføres til et centralt CCTV-system. Sikkerhedspersonale undersøger aktivering af døralarmer. Sikkerhedsvagter konfronterer alle uautoriserede eller mistænkelige personer, som forsøger at få adgang uden for normal arbejdstid. Derudover er al adgang til datacentre overvåget, således at kontrolleret/autoriseret adgang opretholdes, og hvor det er nødvendigt, bliver entreprenører, der har behov for at servicere udstyr i datacentre, forsynet med eskorte. Fysiske sikringsforanstaltninger Datacentre er opført i henhold til Uptime Tier2- eller Tier3-definition. Datacentre er forsynet fra den lokale eldistributør og gennem standby-generatorer og via UPS-anlæg, som sikrer stabil elforsyning ved nedbrud på offentlig forsyning. Ved svigt i offentlig elforsyning starter generatorer (typisk kva dieselgeneratorer) automatisk op og sikrer den fortsatte elleverance. Generatorerne og UPS-anlæg m.v. testes regelmæssigt i henhold til årshjul alt i øvrigt i henhold til sikringsplaner. 6
8 Køling af rackskabe i datacentre sker under hævede edb-gulve. Køleanlægget sørger for, at kølig, filtreret luft skubbes op gennem rackskabet nedefra. I Nianets datacentre anvendes som oftest kuber, hvor kold luft forsynes i kolde gange, og varm luft fra udstyr blæses ud i omgivende rum, hvorfra et køleaggregat suger den opvarmede luft og via kølevand afsætter kalorier i udendørs enheder. Alle områder og rackskabe har en temperatur på maksimalt 25 C og en luftfugtighed på maksimalt 60 %. Områder, der benyttes til placering af udstyr, er opført i brandhæmmende materiale. Datacentre er beskyttet af Argonite- eller Inergen-anlæg, der er koblet til brandmeldeanlæg. Der er tilkoblet optiske og ioniserende røgalarmer i både loft og under det hævede gulv i lokalerne. Disse overvåger konstant områderne og afgiver endvidere audiovisuel alarm. Ved alarmering via to eller flere meldeanlæg udløses slukningsanlæg i det pågældende rum. Samtidig sendes alarmen videre til kontrolcentral. Området er videoovervåget, og al aktivitet logges. Datacentre er S40-certificerede. Brugerkontrol hensyn til kunder Nianets kontroller er designet ud fra den antagelse, at visse interne kontroller er implementeret hos kunderne/brugerne. Implementeringen af sådanne interne kontroller er nødvendige for at opnå de kontrolmål, som er beskrevet i sektion 4. Der kan være yderligere kontrolmål og relaterede kontroller hos kunderne/brugere, som kan være hensigtsmæssige for transaktioner, og som ikke er angivet i denne beskrivelse. Dette afsnit beskriver visse kontroller, som brugere hos leverandøren har implementeret for at opnå de kontrolmål, der er angivet i beskrivelsen. Kontrolovervejelser, som er anført nedenfor, skal ikke ses som en fyldestgørende liste over kontroller, der skal anvendes af brugere: Adgangskontrol: Kunden har selv ansvaret for at etablere kontroller, der sikrer, at egne brugere oprettes og nedlægges i overensstemmelse med de af kunden vedtagne procedurer for at begrænse uautoriseret adgang. Kontrollen bør indeholde foranstaltninger, der sikrer periodisk review af adgangstilladelse til brugere med henblik på at sikre, at adgang fortsat er hensigtsmæssig på baggrund af brugeransvar og sikkerhedskrav. 7
9 Bilag 2 Kontrolmål, kontroller og udførte testhandlinger Nedenfor vises resultatet af vores testhandlinger. Kontrolmål: At give retningslinjer for og understøtte beredskabsaktørers adgang til elektronisk kommunikation i beredskabssituationer. Bek 564. B1_001 Faste kredsløb proces. Nianet har i deres beredskabsproces registreret og prioriteret faste kredsløb til beredskabsmæssige formål, der er bestilt af offentlige og private kunder i henhold til BEK og 11. Vi har inspiceret netværksmonitoreringssystemet og påset, at systemet indeholder detaljer om linjers ID, kapacitet og nettermineringspunkter. Endvidere er det påset, at der er udarbejdet en VIP-liste, som angiver de mest vitale og højest prioriterede kredsløb. væsentlige bemærkninger. B1_002 Faste kredsløb registrering. Nianet opretholder et register med kredsløb til beredskabsmæssige formål. Registeret indeholder information om: 1) at registrere kredsløbet med et entydigt identifikationsnummer, 2) at registrere de kredsløb, som bestiller angiver som vitale kredsløb, med højeste omlægningsprioritet 3) at registrere kredsløbets transmissionskapacitet og nettermineringspunkter 4) forud for arbejdets udførelse at tage kontakt til den kontaktperson hos bestilleren, der er angivet i bestillingen, med henblik på tilrettelæggelse af arbejdets udførelse 5) at underrette bestiller, hvis bestillingen ikke kan udføres som anført i bestillingen. Udbyderen har pligt til at registrere efterfølgende nedkobling af faste kredsløb til beredskabsmæssige formål. 1) Vi har inspiceret for udvalgte stikprøver, at kredsløb er registreret med unik identifikationsnummer. 2) Vi har inspiceret, at vitale kredsløb er registreret med højeste omlægningsprioritet. 3) Vi har inspiceret for udvalgte stikprøver, at nettermineringspunkter samt transmissionskapacitet er registreret. 4 og 5) Vi har inspiceret, at Nianet har fastlagt procedurer for at tage kontakt til kontaktperson hos bestiller forud for arbejdets udførelse samt for underretning af bestiller, hvis arbejdet ikke kan udføres. væsentlige bemærkninger. Udbyderen skal sikre, at kredsløb, hvor mindst et nettermineringspunkt er placeret i udlandet, kan identificeres ved det identifikationsnummer, som bestiller angiver. I henhold til BEK
10 B1_003 Faste kredsløb prioritering. Nianet har i deres beredskabsproces prioriteret de faste kredsløb til beredskabsmæssige formål, således at Nianet først foretager retablering af de faste kredsløb til beredskabsmæssige formål, som er registreret som vitale kredsløb, og derefter foretager retablering af øvrige faste kredsløb til beredskabsmæssige formål. Retableringen af de faste kredsløb til beredskabsmæssige formål skal ske forud for øvrige retableringer. I henhold til BEK Se B1_002 væsentlige bemærkninger. Kontrolmål: At Sikre, at medarbejdere og kontrahenter forstår deres ansvar og er egnede til de roller, de er i betragtning til vedrørende net- og informationssikkerhed. Bek 565 B2_001 It-sikkerhedsledelse medarbejdere. Alle medarbejdere med adgang til kundeklassificerede informationer er sikkerhedsgodkendt til klassifikationsgraden HEMMELIGT i overensstemmelse med Justitsministeriets cirkulære om sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO eller EU. Vi har inspiceret for udvalgte stikprøver, at medarbejdere med adgang til kundeklassificerede informationer er sikkerhedsgodkendt til klassifikationsgraden HEMMELIGT. væsentlige bemærkninger. 9
11 Kontrolmål: At give retningslinjer for og understøtte oplysnings- og underretningspligter vedrørende net- og informationssikkerhed. Bek 566 Underretningspligt aftaleindgåelser Nianet har fastlagt procedurer for skriftligt at underrette Center for Cybersikkerhed forud for, at der indledes forhandlinger om aftaler samt tillæg til eksisterende aftaler, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelse af driften heraf i henhold til BEK og 4. Vi har inspiceret procedurer for rapportering til Center for Cybersikkerhed forud for, at der indledes forhandlinger om aftaler samt tillæg til eksisterende aftaler, der vedrører kritiske netkomponenter i henhold til BEK og 4. Vi har fået oplyst, at der ikke har været tilfælde, som har nødvendiggjort forhandlinger af den omtale karakter. B3_001 Underretninger skal indeholde oplysninger om: 1) Hvilke kritiske netkomponenter, systemer og værktøjer, herunder varetagelse af driften heraf, som aftalen påtænkes at omfatte 2) Aftalens påtænkte omfang 3) Eventuel placering af opgaver uden for Danmark 4) Eventuelle leverandører, der påtænkes inddraget i aftaleforhandlingerne 5) Overordnet tidsplan for aftaleforhandlingerne 6) Aftalens påtænkte varighed. yderligere bemærkninger B3_002 Underretningspligt underretning Nianet har i incident management-proces fastlagt procedurer for rapportering af hændelser til Center for Cybersikkerhed vedr. brud på informationssikkerheden i henhold til BEK og 8. Vi har inspiceret dokumentation for, at der i forlængelse af Nianets incident management-proces er oprettet procedurer for rapportering af hændelser til Center for Cybersikkerhed. væsentlige bemærkninger. B3_003 Underretningspligt kunder Nianet har indhentet oplysninger fra tjenesteudbydere, der benytter udbydernes net, med henblik på at kunne foretage underretning i henhold til BEK og 10. Vi har inspiceret incident managementproceduren for håndtering af nedbrud, samt hvordan incidents skal eskaleres. Vi har påset, at kontaktoplysninger på tjenesteudbydere er nedskrevet i oversigtsark i relation til underretning i henhold til BEK og 10. væsentlige bemærkninger. B3_004 Underretningspligt Kontaktpunkt Der er indberettet kontaktpunkt til projektenheden for cybersikkerhed. Vi har inspiceret dokumentation for, at der er indberettet kontaktpunkt til projektenheden for cybersikkerhed. væsentlige bemærkninger. 10
12 Kontrolmål: At give retningslinjer for og understøtte informationssikkerhed og beredskab i net og tjenester. BEK 567 B4_001 It-sikkerhedsledelse it-risikoanalyse. Der er udarbejdet it-risikoanalyse efter anerkendt international standard, eksempelvis DS/ISO/IEC eller tilsvarende, som tager stilling til risikoen for tab af tilgængelighed, integritet og fortrolighed i de net og tjenester, der udbydes, samt efterlever krav i BEK og 5. Risikovurderingen skal inkludere tredjeparter (samarbejdspartner). Vi har indhentet seneste it-risikoanalyse og kontrolleret, at denne er godkendt og udarbejdet efter ISO Vi har endvidere kontrolleret, at der er udarbejdet en risikovurdering, der inkluderer tredjeparter. væsentlige bemærkninger. Risikoanalyse revurderes årligt samt ved væsentlige ændringer. B4_002 It-sikkerhedsledelse ledelsessystem til risikostyring. Der er udarbejdet et formelt ledelsessystem til samlet risikostyring af informationssikkerhed. Der skal i den forbindelse tages stilling til kriterier for Nianets risikovillighed med henblik på at opretholde net og tjenester i beredskabssituationer. I henhold til BEK og 7. Vi har inspiceret dokumentation med henblik på at kontrollere, at der er udarbejdet et formelt ledelsessystem efter ISO til samlet risikostyring af informationssikkerhed, som tager stilling til kriterier for Nianets risikovillighed i henhold til BEK og 7. væsentlige bemærkninger. B4_003 It-sikkerhedsledelse informationssikkerhedspolitikken Der er på baggrund af en it-risikoanalyse udarbejdet en informationssikkerhedspolitik med udgangspunkt i en anerkendt international standard, eksempelvis DS/ISO/IEC eller tilsvarende, for at imødegå identificerede risici. Informationssikkerhedspolitikken revurderes årligt samt ved væsentlige ændringer. Vi har inspiceret gældende informationssikkerhedspolitik og kontrolleret, at denne er udarbejdet efter ISO standarden. Vi har påset, at politikken er revurderet og godkendt i erklæringsperioden samt at denne omhandler håndtering af beredskabssituationer i henhold til BEK væsentlige bemærkninger. Informationssikkerhedspolitikken skal efter 3 desuden beskrive udbydernes politik for håndtering af beredskabssituationer og andre ekstraordinære situationer med henblik på at sikre, at net og tjenester i videst muligt omfang kan opretholdes i sådanne situationer. I henhold til BEK B4_004 It-sikkerhedsledelse awareness Alle medarbejdere hos Nianet skal kvittere for at have læst informationssikkerhedspolitikken og trusselsbilledet/risikovurderingen i henhold til BEK Vi har med baggrund i tiltrædelser for erklæringsperioden stikprøvevist kontrolleret, at medarbejderne hos Nianet har kvitteret for at have læst informationssikkerhedspolitikken i henhold til BEK væsentlige bemærkninger. 11
13 B4_005 It-sikkerhedsledelse informationssikkerhedsorganisation. It-sikkerhedsrelevante opgaver er formelt defineret, og ansvaret for opgaverne er placeret hos medarbejdere, som er bekendte med deres ansvar i henhold til BEK og 15. Vi har inspiceret gældende informationssikkerhedspolitik og kontrolleret, at denne beskriver it-sikkerhedsorganisationen samt indeholder en beskrivelse af de forskellige rollers ansvar. væsentlige bemærkninger. B5_006 It-sikkerhedsledelse it-beredskab Der er på baggrund af it-risikoanalysen og informationssikkerhedspolitikken udarbejdet beredskabsplaner til håndtering af beredskabssituationer. Beredskabsplanerne skal med udgangspunkt i Nianets risikovillighed tage højde for, at Nianet kan opretholde udbuddet af net og tjenester i beredskabssituationer og i andre ekstraordinære situationer. Beredskabsplaner revurderes årligt. Vi har inspiceret, at Nianet har etableret en beredskabsplan, som tager afsæt i risikoanalysen. Vi har kontrolleret, at beredskabsplanen tager højde for, at Nianet kan opretholde udbuddet af net og tjenester i beredskabssituationer og i andre ekstraordinære situationer. væsentlige bemærkninger. I henhold til BEK B5_007 It-sikkerhedsledelse it-beredskabstest og øvelser Der er udarbejdet en flerårig rotationsplan for beredskabsøvelser. Vi har inspiceret den femårige testplan for beredskabsøvelser samt indhentet dokumentation på udført beredskabstest i erklæringsperioden. væsentlige bemærkninger. B5_008 B5_009 It-sikkerhedsledelse register over kritiske netkomponenter, systemer og værktøjer. Nianet har til brug for risikostyringen etableret et register over kritiske netkomponenter, systemer og værktøjer. Registret vedligeholdes og opdateres ved ændringer i henhold til BEK It-sikkerhedsledelse it-sikringsplaner Der er på baggrund af it-risikoanalysen udarbejdet sikringsplaner for at imødegå identificerede risici. Sikringsplanen skal som minimum tage stilling til logisk og fysisk adgangskontrol, fysisk perimetersikring, brandsikring, klimasikring samt varslingssystemer til detektion af uautoriseret adgang. Sikringsplaner revurderes årligt. Se kontrol B1_001. væsentlige bemærkninger. Vi har indhentet kopi af seneste sikringsplaner og vurderet: Om der er formel godkendelse på et tilstrækkeligt ledelsesniveau Om den er udarbejdet på baggrund af en it-risikoanalyse Om ansvaret for implementeringen af politikken er klart placeret Om sikringsplanerne tager stilling til logisk og fysisk adgangskontrol samt fysisk perimetersikring. væsentlige bemærkninger. 12
14 B5_010 It-sikkerhedsledelse systemlogning Nianet har etableret procedure for at implementere logning med henblik på at sikre sporbarhed ved eventuelle informationssikkerhedsbrud, herunder at administratorrettigheder logges i henhold til BEK Vi har inspiceret gældende logpolitik samt kontrolleret, at denne efterleves på netværket og Windows-domænet. Vi har inspiceret, om logfiler gennemgås periodisk. Vi har konstateret, at logfiler ikke er gennemgået, men opbevares med henblik på at kunne udføre en reaktiv kontrol. Nianet har endvidere en kontrol for periodisk gennemgang af logfiler. yderligere bemærkninger. B5_011 Adgang til logfiler er restriktivt opsat Brugere med adgang til logfiler har et arbejdsbetinget behov herfor. Vi har stikprøvevist inspiceret, om brugere med adgang til logfiler har et arbejdsbetinget behov herfor. væsentlige bemærkninger. B5_012 Adgang til logfiler igennem backup Adgangen til logfiler igennem backup foregår via krypterede og sikrede forbindelser. Vi har inspiceret, at logfiler gemmes i Veaam-backupløsning på eget interne drev. Vi har endvidere inspiceret brugerlisten med MDA accounts, som har adgang til logfiler i Veaam. væsentlige bemærkninger. B5_013 Netværksændringer test Nianet har en formel change management-proces, hvorunder det sikres, at der i forbindelse med alle ændringer til idriftsættelser sker dokumentation af den gennemførte tests omfang og kvalitet, samt at godkendelser af ændringer dokumenteres konsistent i henhold til BEK Vi har inspiceret den formelle change management-proces og kontrolleret, at der i denne stilles krav til, at der i forbindelse med alle ændringer til idriftsættelser sker dokumentation af den gennemførte tests omfang og kvalitet, samt at godkendelser af ændringer dokumenteres konsistent i henhold til BEK Vi har endvidere stikprøvevist kontrolleret, om netværksændringer har fulgt processen. For en ud af de 25 udvalgte stikprøver var der ikke en formel godkendelse. For en ud af de 25 udvalgte stikprøver forelå der ikke fallback- og testplan. yderligere bemærkninger. B5_014 It-sikkerhedsledelse sikkerhedshændelser/incident management Særlige risici for brud på informationssikkerheden håndteres gennem incident management-proces og rapporteres igennem denne til kunden i henhold til BEK Vi har inspiceret proceduren for behandling af risici for brud på informationssikkerheden. Vi har endvidere inspiceret populationen af incidents og kontrolleret, at der ikke har været nogen med særlige risici for brud på informationssikkerheden i revisionsperioden. Vi har konstateret, at der ikke har været særlige risici for brud på informationssikkerheden, som har skullet håndteres igennem incident managementprocessen og rapporteres igennem denne til kunden. 13
15 yderligere bemærkninger. B5_015 It-sikkerhedsledelse sårbarhedsscanning Nianet skal til enhver tid holde sig orienteret om nye sårbarheder, der vil kunne have konsekvenser for udbydernes net og tjenester. Nianet foretager årlige sårbarhedsscanninger med henblik på at sikre, at de etablerede informationssikkerhedsforanstaltninger i net og tjenester fortsat er effektive i henhold til BEK Vi har inspiceret dokumentation for, at Nianet i revisionsperioden har gennemført en sårbarhedsscanning af netværket. væsentlige bemærkninger. B5_016 Backup strategi Nianet har udarbejdet en overordnet, ledelsesgodkendt backupstrategi, som danner grundlag for etableringen af backup for de relevante systemer i henhold til BEK Vi har inspiceret ledelsesgodkendt backupstrategi og kontrolleret, at denne danner grundlag for etableringen af backup for de relevante systemer i henhold til BEK væsentlige bemærkninger. B5_017 Backup test Nianet foretager en periodisk kontrol af, at der er gennemført tilstrækkelige og tilfredsstillende retableringer af data til at underbygge formodningen om, at backupløsningen understøtter ledelses- og lovkrav i henhold til BEK Vi har inspiceret backup- og restoreprocedure og stikprøvevist kontrolleret, at der er gennemført tilstrækkelige og tilfredsstillende retableringer af data. væsentlige bemærkninger. B5_018 Backup opbevaring Nianet har en procedure for forsvarlig og sikker opbevaring af backupmedier. F.eks. som led i en daglig checkliste. Det dokumenteres, når backupmedier bringes til den sikre opbevaring i henhold til BEK Vi har inspiceret procedurer for forsvarlig og sikker opbevaring af backupmedier. væsentlige bemærkninger. B5_019 Backup sikker destruktion Nianet har en procedure for sikker destruktion af backupmedier i henhold til BEK Vi har inspiceret procedurer for forsvarlig og sikker destruktion af backupmedier. Vi har fået oplyst, at Nianet ikke har haft backupdeske, som skulle destrures, i revisionsperioden. yderligere bemærk- 14
16 ninger. B5_020 Logisk adskillelse mellem miljøer Der er logisk adskillelse mellem produktions-, administrations-, styringsog testnet i henhold til BEK Vi har inspiceret topologikort og kontrolleret den logiske adskillelse mellem produktions-, administrations-, styrings- og testnet. væsentlige bemærkninger. B5_021 Environmental mechanisms strømsikring Baseret på en risikovurdering er der etableret nødstrømsløsninger (UPS og generator), som årligt serviceres og testes regelmæssigt, samt at der etableres dokumentation herfor i henhold til BEK Vi har inspiceret driftscentrene (Skanderborg, Århus, Vallensbæk, Taastrup, Glostrup og Glostrup, Sydvestvej) og påset, at der er installeret UPS og dieselgenerator samt køle- og brandslukningsanlæg. Vi har påset servicekontrakterne for disse samt at der er gennemført service inden for erklæringsperioden. væsentlige bemærkninger. Change informationssikkerhed Se B5_013 Se B5_013 B5_022 I forbindelse med en ændring til netkomponenter (anskaffelse, udvikling, ændring og vedligeholdelse) skal der ske en risikovurdering af, om ændringen kan have indvirkning på informationssikkerhed i henhold til BEK
17 Overvågning af leverandør Nianet skal som væsentlig erhvervsmæssig leverandør sikre, at evt. samarbejdspartnere efterlever samme krav som Nianet i henhold til BEK for de dele af net og tjenester, som er omfattet af samarbejdsaftaler. Vi har på baggrund af de anvendte leverandører for den periode, der revideres, stikprøvevist kontrolleret, at der foreligger underskrevet aftale vedrørende efterlevelse af BEK væsentlige bemærkninger. B5_ Såfremt der etableres et samarbejde mellem en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige net og tjenester og en leverandør, er den væsentlige erhvervsmæssige udbyder af offentligt tilgængelige net og tjenester fortsat ansvarlig for, at kravene efter denne bekendtgørelse efterleves. Stk. 2. Aftaleparternes aftalegrundlag skal tage højde for informationssikkerhedsaspekter i forhold til udbuddet af net og tjenester ved samarbejdet. Aftalegrundlaget skal i fornødent omfang opdateres, hvis der sker ændringer af informationssikkerhedsmæssig betydning. Stk. 3. Udbyderen skal på baggrund af risikovurderingen efter 2 i fornødent omfang foretage verifikation af, at der er overensstemmelse mellem aftalepartens leverancer, herunder konfigurationen af leverancerne, og det mellem parterne aftalte. Stk. 4. Verifikationen efter stk. 3 kan ske som en stikprøvekontrol, såfremt det står i forhold til udbyderens risikovurdering efter 2. Revision af leverandør Se B5_023 Se B5_023 B5_024 Ved etablering at et samarbejde efter 21 og 22 skal de deltagende udbydere sikre, at der sker intern auditering af efterlevelsen af de informationssikkerhedskrav, der fremgår af aftalegrundlaget i henhold til BEK B5_025 Beredskabsstyring Krisehåndteringsplaner Der er med baggrund i risikoanalysen udarbejdet krisehåndteringsplan i henhold til BEK , 28 og 30. Vi har inspiceret gældende krisehåndteringsplan og kontrolleret, at der er udarbejdet en plan for relevante områder i henhold til BEK , 28 og 30. væsentlige bemærkninger. B5_026 Beredskabsstyring 24/7 vagt Der haves en 24/7 vagtordning for beredskabssituationer i henhold til BEK Vi har inspiceret, at Nianet har etableret en 24/7 vagtordning for beredskabssituationer. væsentlige bemærkninger. 16
18 B5_027 Beredskabsstyring underretning til Center for Cybersikkerhed Der haves retningslinjer for straksunderretning til Center for Cybersikkerhed ved aktivering og deaktivering af beredskab i henhold til BEK og 35 samt retningslinjer for løbende (hver 4. time) situationsrapportering til Center for Cybersikkerhed i tilfælde af aktiveret beredskab i henhold til BEK Vi har inspiceret procedurer for 'Regler for underretning om brud på informationssikkerhed - NIS lov, herunder påset, at der heri er kontaktoplysninger til Center for Cybersikkerhed. væsentlige bemærkninger. B5_028 Påbud fra Center for Cybersikkerhed Nianet skal sikre sig, at de efterlever evt. påbud fra Center for Cybersikkerhed BEK og 26. Vi har forhørt os om, hvorvidt Nianet er underlagt evt. påbud fra Center for Cybersikkerhed. Vi har fået oplyst, at Nianet ikke har været underlagt evt. påbud fra Center for Cybersikkerhed, hvorfor kontrollen ikke kan testes. yderligere bemærkninger. JHON/hakj/ach/ABP T:\Afd1180\Nianet as \2018\DK ISAE 3000 Nianet Lov om net- og informationssikkerhed END docx 17
Erklæring om fysisk sikring og effektiviteten heraf for perioden fra 16. juni 2016 til 15. juni 2017
Nianet A/S ISAE 3402 Type 2 Erklæring om fysisk sikring og effektiviteten heraf for perioden fra 16. juni 2016 til 15. juni 2017 Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for en eller
Lovtidende A Udgivet den 3. juni Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1) 1. juni Nr. 567.
Lovtidende A 2016 Udgivet den 3. juni 2016 1. juni 2016. Nr. 567. Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1) I medfør af 3, stk. 1 og 3, 5, stk. 1 og 2, og 14, stk. 2, i
Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1)
BEK nr 567 af 01/06/2016 (Gældende) Udskriftsdato: 15. januar 2017 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., Center for Cybersikkerhed, j.nr. 2015/002263 Senere ændringer til forskriften
Sotea ApS. Indholdsfortegnelse
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj
Sotea ApS CVR-nr. 10 08 52 25
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj
MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
1. Ledelsens udtalelse
www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden
Plan og Handling CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov pr. 29-01-2019 ISAE 3000 CVR-nr.: 18 13 74 37
Præsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
GML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret
Lector ApS CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesloven (GDPR) pr. 06-07-2018 ISAE 3000-I Lector ApS CVR-nr.: 10 02 16 18 Juli 2018 REVI-IT A/S statsautoriseret
SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Komiteen for Sundhedsoplysning CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) pr. 20-12-2018 ISAE 3000 Komiteen for Sundhedsoplysning CVR-nr.: 14 03 53 38 December
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Politik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
GML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov for leverancen af rekrutteringsydelser i perioden
IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer
MARTS 2019 IMS A/S CVR-nummer 25862015 ISAE 3402 TYPE 1 ERKLÆRING Revisors erklæring vedrørende overholdelse af sikkerhedsprocedurer omkring dataudveksling. Rammen for sikkerhedsprocedurer er angivet i
Timengo DPG A/S CVR-nr
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift og vedligeholdelse af DPG-løsningen pr. 16. januar 2019 ISAE 3402, type I Timengo DPG
PSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.
www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors
Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1)
BEK nr 566 af 01/06/2016 (Gældende) Udskriftsdato: 10. februar 2017 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., Center for Cybersikkerhed, j.nr. 2015/002263 Senere ændringer til forskriften
Fonden Center for Autisme CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataloven og tilhørende bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger med senere ændringer
ISAE 3402-ERKLÆRING PR. 1
ISAE 3402-ERKLÆRING PR. 1. JULI 2019 OM BESKRI- VELSEN AF DATACENTER-LØSNING OG DE FYSISKE SIK- KERHEDSFORANSTALTNINGER (KONTROLLER) OG DE- RES UDFORMNING FUZION A/S INDHOLD Revisors erklæring 2 Fuzion
Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
MedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018
Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr. 85249 18. juni 2018 MedComs styring af SDN Vi har undersøgt, om ledelsen har etableret en effektiv styring af
DFF-EDB a.m.b.a CVR nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Informationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Andersen & Martini A/S
Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten
Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018
www.pwc.dk Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 Indhold 1. Ledelsens udtalelse... 3 2. Uafhængig revisors
Front-data Danmark A/S
Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560
IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Sikkerhedspolitik Version 4.0506 d. 6. maj 2014
Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall
Modenhed og sikkerhed hos databehandlere Charlotte Pedersen
Modenhed og sikkerhed hos databehandlere Charlotte Pedersen 28. Januar 2014 Præsentation Charlotte Pedersen Director Cand.scient.pol. ISO27001:2013 Certified ISMS Lead Auditor (IBITG accredited) mv., CIIP,
Politik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer.
Thrane & Thranes bestyrelse har nedsat en revisionskomite. Revisionskomitéen Revisionskomiteens medlemmer er: Morten Eldrup-Jørgensen (formand og uafhængigt medlem med ekspertise inden for blandt andet
Overordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Assens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.
Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København
Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret
2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål
Bekendtgørelse om informationssikkerhed og beredskab for elektroniske kommunikationsnet og -tjenester 1)
(Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr. 09-07167 Senere ændringer
DFF EDB a.m.b.a. CVR-nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.
Databeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø
spolitik 28.02.2017 Banedanmark IT Amerika Plads 15 2100 København Ø www.banedanmark.dk Forfatter: Carsten Stenstrøm Mail: cstr@bane.dk Telefon: 41881976 Indhold Side 1 spolitik 4 1.1 Indledning 4 1.2
Databehandleraftale 2013
Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE
Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Forbrugervalg 2018 Eniig Varme Dokumentation af afstemningsresultat Udskrevet den 25. september 2018 kl. 08:00 Behandlet af: Kasper Pilman Kristensen
Forbrugervalg 2018 Eniig Varme Dokumentation af afstemningsresultat Udskrevet den 25. september 2018 kl. 08:00 Behandlet af: Kasper Pilman Kristensen Afstemningsperiode: 10-09-2018 09:00:00 24-09-2018
Informationssikkerhed Version 2.0 29.09.10
Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de
Vejledning til brug af Bank RA Revisionsinstruks
Vejledning til brug af Bank RA Revisionsinstruks 1-7 Indholdsfortegnelse Indledning... 3 Formål... 3 Scope for RA-revisionen... 3 Særlige forhold for banker der benytter Nets DanID API et... 3 Kontroller
Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Ejerforeningen SeaWest Delområde A. Revisionsprotokollat af 22. februar (side 48-51)
Edison Park 4 DK-6715 Esbjerg N Tlf. 76 11 44 00 Fax 76 11 44 01 www.martinsen.dk CVR-nr. 32 28 52 01 Ejerforeningen SeaWest Delområde A Revisionsprotokollat af 22. februar 2018 (side 48-51) vedrørende
Ballerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
EG Cloud & Hosting
www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017
SOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
It-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Fællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Informationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
frcewtfrhousf(wpers ml
frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende
1. Ledelsens udtalelse
www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens
EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser
www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...
Lovtidende A. 2016 Udgivet den 3. juni 2016. Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1)
Lovtidende A 2016 Udgivet den 3. juni 2016 1. juni 2016. Nr. 566. Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1) I medfør af 4, 7 og 14, stk. 2, i lov
Procedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Overordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Overordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
It-beredskabsstrategi for Horsens Kommune
It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,
IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Region Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke
Greve Kommune. Revision af generelle it-kontroller 2011
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle
Fællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013
Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken
INFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
NOVAX One. Overlad ansvaret til os
NOVAX One Overlad ansvaret til os NOVAX One vi tager ansvaret for jeres datasikkerhed Undgå tidskrævende og besværlig planlægning Med NOVAX One, en browserbaseret løsning fra NOVAX, slipper I for arbejdet
Årshjul for persondata. v/henrik Pors
Årshjul for persondata v/henrik Pors Årshjul for persondata Årshjul hvorfor? Argumenterne kan være: Skaber overblik over opgaverne Mulighed for allokering af ressourcer Sikrer at opgaver bliver udført
KOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Informationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Faxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
DATABEHANDLERAFTALE [LEVERANDØR]
DATABEHANDLERAFTALE Mellem [KUNDE] og [LEVERANDØR] Der er den [dato] indgået følgende databehandleraftale ("Aftalen") mellem: (A) (B) [VIRKSOMHEDEN], [ADRESSE] et selskab registreret under CVR-nr. [ ]
Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK
GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK 1 INDHOLDSFORTEGNELSE 30-04-2018 1. Indledning... 3 1.1. Formål og målsætning... 3 1.2. Gyldighedsområde... 3 1.3. Godkendelse... 3 1.4. Gentofte Kommunes
Kontraktbilag 8. It-sikkerhed og compliance
Kontraktbilag 8 It-sikkerhed og compliance LØNMODTAGERNES DYRTIDSFOND DIRCH PASSERS ALLÉ 27, 2. SAL 2000 FREDERIKSBERG TELEFON 33 36 89 00 FAX 33 36 89 01 INFO@LD.DK WWW.LD.DK CVR 61552812 2 INDHOLD INDHOLD
Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1)
Center for Cybersikkerhed 29. april 2016 U D K A S T Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed 1) I medfør af 4, 7 og 14, stk. 2, i lov nr. 1567 af
Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018
Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018 Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør,
Privatlivspolitik ekstern persondatapolitik
Privatlivspolitik ekstern persondatapolitik for Shine Danmark miljøvenlig rengøring vedr. behandling af persondata Version 1 Dato 22.05.2018 Godkendt af Christina L. Johansen Antal sider 14 Side 1 af 10
IDQ A/S CVR-nr.:
Uafhængig revisors ISAE 3000 - erklæring med sikkerhed om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger pr. 28. marts 2019 ISAE 3000 IDQ A/S CVR-nr.: 34 04 62
Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
IT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550
Ikast-Brande Kommune Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550 Godkendt i Byrådet den 20.06.2016 2 Indhold 1. Indledning... 4 2. Formål... 5
Jyske Bank Politik for It sikkerhed
Indholdsfortegnelse Indholdsfortegnelse... 1 1. Formål og omfang... 2 2. It sikkerhedsniveau... 2 3. Organisation og ansvar... 2 4. It risikostyring... 3 5. Outsourcing... 3 6. Sikkerhedsprincipper...
It-revision af Sundhedsdatanettet 2015 15. januar 2016
MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen
ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer
plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger