ISAE 3402 Type 2. Uafhængig revisors erklæring. hostingydelser for perioden fra 1. maj 2017 til 30. april 2018

Transkript

1 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax C2IT A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle itkontroller relateret til drifts- og hostingydelser for perioden fra 1. maj 2017 til 30. april 2018 Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for en eller flere af Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar ( DTTL ), dets netværk af medlemsfirmaer og deres tilknyttede virksomheder. DTTL og alle dets medlemsfirmaer udgør separate og uafhængige juridiske enheder. DTTL (der også betegnes Deloitte Global ) leverer ikke selv ydelser til kunderne. Vi henviser til for en udførlig beskrivelse af DTTL og dets medlemsfirmaer

2 Indholdsfortegnelse Side 1. Uafhængig revisors erklæring 1 2. Udtalelse fra C2IT A/S 4 3. Systembeskrivelse fra C2IT A/S Introduktion Beskrivelse af C2IT A/S ydelser Organisation og sikkerhed Risikostyring ved C2IT A/S Kontrolrammer, kontrolstruktur og kriterier for kontrolimplementering Etableret kontrolmiljø Sikkerhedspolitik Fysisk sikkerhed Styring af kommunikation og drift Adgangskontrol Business Continuity Management Supplerende information omkring det etablerede kontrolmiljø Levering af serviceydelser Brugeradgange Efterlevelse af relevant lovgivning Information distribueret af Deloitte Introduktion Kontrolmiljøelementer Test af effektivitet Testede kontrolmål og kontrolaktiviteter 18 1

3 1. Uafhængig revisors erklæring Til ledelsen hos C2IT A/S, C2IT A/S kunder og deres revisorer Omfang Vi har fået til opgave at erklære os om C2IT A/S udtalelse i afsnit 2 samt de tilhørende beskrivelser af system- og kontrolmiljøet i afsnit 3 for C2IT A/S drifts- og hostingydelser, der omfatter design, implementering og effektivitet af de kontroller, der er anført i beskrivelsen. C2IT A/S beskrivelse omhandler de kontroller, som er etableret til sikring af drift og hosting af kunder og levering af de serviceydelser, som C2IT A/S tilbyder drifts- og hostingkunder (generelle it-kontroller). Erklæringen er afgivet efter partielmetoden og omfatter ikke kontroller, som varetages af C2IT A/S underleverandører. De kontroller, der udføres af C2IT A/S underleverandører, omfatter: Fysisk sikring af C2IT A/S systemmiljø hos Zitcom A/S (Curanet) Kontroller relateret til backup, som udføres hos Front-Safe A/S. Fysisk sikring af C2IT A/S systemmiljø hos GlobalConnect A/S* Fysisk sikring af C2IT A/S systemmiljø hos Cloud Factory A/S* * For GlobalConnect A/S og Cloud Factory A/S gælder det, at kun en begrænset mængde af kunder har haft opbevaret data hos disse leverandører i en del af perioden, før de er flyttet til Zitcom A/S. C2IT A/S ansvar C2IT A/S er ansvarlig for udarbejdelse af efterfølgende udtalelse samt beskrivelse af system- og kontrolmiljøet, jf. afsnit 3. C2IT A/S er endvidere ansvarlig for at sikre beskrivelsens fuldstændighed og nøjagtighed, herunder at sikre en korrekt fremstilling og præsentation af udtalelse og beskrivelse i denne erklæring. Det er endvidere C2IT A/S ansvar at levere de ydelser, som beskrivelsen omfatter, og udforme og designe samt implementere effektive kontroller for at opnå de identificerede kontrolmål. Revisors ansvar Det er vores ansvar på baggrund af vores handlinger at udtrykke en konklusion om C2IT A/S beskrivelse samt om design, implementering og effektivitet af kontroller relateret til de kontrolmål, der er anført i deres beskrivelse. Vi har udført vores arbejder i henhold til International Standard 1

4 on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls at a Service Organization, der er udstedt af International Auditing and Assurance Standards Board. Denne standard kræver, at vi planlægger og udfører vores procedurer med henblik på at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er dækkende, og kontrollerne er hensigtsmæssigt designet og fungerer effektivt. Vi har overholdt kravene til uafhængighed og andre etiske krav i IESBA s Etiske regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Deloitte anvender ISQC 1 og opretholder derfor et omfattende system til kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav i lov og øvrig regulering. En erklæringsopgave med sikkerhed for beskrivelsen, designet og effektiviteten af kontroller hos C2IT A/S omfatter udførelse af handlinger med henblik på at opnå bevis for C2IT A/S beskrivelse af sit system samt for kontrollernes design og effektivitet. De udvalgte handlinger afhænger af revisors vurdering, herunder vurdering af risikoen for, at beskrivelsen ikke fremstår dækkende, og at kontroller ikke er hensigtsmæssigt designet eller ikke fungerer effektivt. Vores handlinger omfatter en test af effektiviteten af de kontroller, som vi anser som nødvendige for at opnå en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, bliver nået. Vores handlinger omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte kontrolmål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør C2IT A/S beskrivelse er udarbejdet med henblik på at imødekomme kravene fra en bred vifte af kunder og disses revisorer og kan derfor ikke omfatte alle aspekter af kontrol i et system, som den enkelte kunde anser som værende vigtigt for sit eget kontrolmiljø. Kontroller i en servicevirksomhed kan heller ikke i sagens natur forhindre eller opdage alle fejl eller udeladelser i proces- eller rapporteringstransaktioner. Derudover er forskydningen af effektivitetsvurdering udsat for den risiko, at kontroller i en servicevirksomhed kan blive utilstrækkelige eller fejle. 2

5 Endvidere vil anvendelse af vores konklusion på efterfølgende perioders transaktioner være undergivet en risiko for, at der foretages ændringer af systemer eller kontroller eller ændringer i virksomhedens overholdelse af de beskrevne politikker og procedurer, hvorved vor konklusion muligvis ikke længere vil være gældende. Konklusion Vores konklusion er udformet på baggrund af de forhold, der er beskrevet i denne erklæring. De kriterier, som vi har anvendt i forbindelse med vores konklusion, er beskrevet i afsnit 2. På grundlag af den udførte revision er det vores vurdering, at: a) beskrivelsen af C2IT A/S ydelser og kontrolmiljø, således som det var udformet og implementeret i perioden , i alle væsentlige henseender er dækkende. b) de kontroller, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden c) de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået, i alle væsentlige henseender har fungeret effektivt i hele perioden Beskrivelse af test af kontroller De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultatet af disse tests fremgår af afsnit 4. Tiltænkte brugere og formål Denne erklæring, beskrivelsen af system- og kontrolmiljøet i afsnit 3 samt vores test af kontroller i afsnit 4 er udelukkende tiltænkt kunder, der har anvendt C2IT A/S ydelser og disses revisorer, som har tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kundernes egne kontroller, når de vurderer risici for væsentlige fejlinformationer i deres regnskaber. København, den 8. juni 2018 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Thomas Kühn partner, statsautoriseret revisor Michael Bagger director, CISA 3

6

7

8 3. Systembeskrivelse fra C2IT A/S 3.1. Introduktion Denne beskrivelse er udfærdiget med henblik på at levere information til brug for kunder hos C2IT A/S og disses revisorer i overensstemmelse med kravene i den danske revisionsstandard ISAE 3402 for erklæringsopgaver om kontroller hos en serviceleverandør. Beskrivelsen omfatter informationer om system- og kontrolmiljøet, der er etableret i forbindelse med C2IT A/S leverance af serviceydelser inden for it-drift og -hosting. Beskrivelsen anfører de anvendte procedurer til sikring af en betryggende afvikling af systemer. Formålet er at give tilstrækkelige informationer til, at drifts- og hostingkunders revisorer selvstændigt kan vurdere afdækningen af risici for svagheder i kontrolmiljøet, i det omfang det kan medføre en risiko for væsentlige fejl i kundernes it-drift for perioden Beskrivelse af C2IT A/S ydelser C2IT A/S er en 100% danskejet it-virksomhed. Vi er et team af fokuserede, kompetente mennesker, der hver dag brænder for at hjælpe vores kunder med at udvikle, planlægge, implementere og drive deres it-infrastruktur. C2IT A/S er etableret i 2003 og har sagt med jysk beskedenhed fra starten kunnet mærke, at det, vi siger og gør for vores kunder, giver dem værdi. Det har betydet en kraftig, men kontrolleret vækst gennem årene. Hos C2IT A/S hjælper vi mellemstore danske og internationale virksomheder med at nå deres forretningsmæssige mål ved at give dem en moden, effektiv og serviceorienteret it-organisation. Vi skaber sammenhæng mellem vores kunders it-drift og forretningsmæssige behov, minimerer deres risici og gør dem i stand til at bruge kræfterne på kerneforretningen. Med dette som udgangspunkt leverer vi bl.a. it-løsninger direkte til kunden som en hosted itløsning via vores datterselskab C2IT Infrastructure A/S, hvor vores kunders it er placeret hos en ISAE 3402-certificeret underleverandør (Curanet A/S). Denne erklæring omfatter derfor følgende ydelser inden for outsourcing og hosting af it-systemer leveret af C2IT A/S via C2IT Infrastructure A/S: 6

9 Serverhosting, hvorpå de af kunden ønskede applikationer og services installeres. Som eksempel kan nævnes ERP-løsninger, branchespecifikke løsninger og . Som udgangspunkt leveres alle løsninger inklusive vedligehold, backup og overvågning. Remote Backup i form af data og/eller image-baseret backup. Sikker adgang til kundens systemer og data (VPN). Overvågning af hard- og softwarefejl. C2IT ønsker at tilbyde vores kunder den tryghed og sikkerhed, der skal til, for at kunden får en sikker og rettidig driftsafvikling, som samtidig tager hensyn til, at kunden skal drive en effektiv forretning. Gennem vores medlemskab af Danish Cloud Community (BFIH) samt ved denne revisionserklæring ønsker C2IT at synliggøre vores professionelle håndtering af hostingydelserne for vores kunder Organisation og sikkerhed C2IT A/S har i alt cirka 65 medarbejdere, hvoraf cirka 22 arbejder i datterselskabet C2IT A/S Infrastructure A/S. Sidstnævnte er organiseret i følgende overordnede grupper: Ledelse og administration Projekt og konsulent Service og support Drift Salg 3.4. Risikostyring ved C2IT A/S C2IT A/S har fastsat processer for løbende risikovurdering af forretning. Formålet med itrisikovurderingen er at sikre, at de risici, som er forbundet med de services og ydelser, som C2IT A/S stiller til rådighed, er reduceret til et acceptabelt niveau. Risikovurderingsprocessen består dels af en generel risikovurdering af C2IT A/S samlede forretning i relation til levering af drifts- og hostingydelser og dels af projektspecifikke vurderinger ved ændringer af teknologi og interne processer. Den generelle it-risikovurdering revurderes med fastsatte intervaller og som minimum en gang om året. It-risikovurderingen gennemføres af relevante medarbejdere på flere niveauer i organisationen og godkendes af C2IT A/S Infrastructures driftsdirektør. 7

10 3.5. Kontrolrammer, kontrolstruktur og kriterier for kontrolimplementering C2IT A/S Infrastructures it-sikkerhedspolitik er gældende for alle medarbejdere og er etableret med henblik på at skabe et styringsværktøj for hensigtsmæssig og pålidelig drift af de kerneydelser, som C2IT A/S tilbyder kunderne. Der arbejdes løbende med forbedring af de etablerede driftsprocedurer, skærpelse af det generelle sikkerheds- og serviceniveau samt forbedring af dokumentationen for de etablerede kontroller. Fastsættelse af kriterier og omfang for kontrolimplementeringen hos C2IT A/S Infrastructure sker ud fra ISO 27001/27002-standarderne. Med udgangspunkt i dette kontrol-framework er relevante kontrolområder og kontrolaktiviteter implementeret på de serviceydelser, som leveres af C2IT A/S. Med udgangspunkt i den valgte kontrolmodel indgår følgende kontrolområder i det samlede kontrolmiljø: Sikkerhedspolitik Fysisk sikkerhed Styring af kommunikation og drift o o o o Backup Netværks- og kommunikationssoftware Systemsoftware Overvågning Adgangskontrol o o Logisk sikring Brugeradministration Business Continuity Management 3.6. Etableret kontrolmiljø Nedenfor er de enkelte kontrolområder nærmere beskrevet Sikkerhedspolitik C2IT A/S ønsker at opretholde og løbende udbygge et it-sikkerhedsniveau på højde med de krav, som skitseres i Den fællesstatslige standard for informationssikkerhed (DS 484 basale krav). Kravene skærpes efter særskilt aftale med den enkelte kunde på veldefinerede områder, hvor der er specielle lovkrav, aftaleretslige forhold eller eventuelt en særlig risiko. Fastholdelse og udbygning af et højt sikkerhedsniveau er en væsentlig forudsætning for, at C2IT A/S fremstår troværdig. Og netop for at fastholde C2IT A/S troværdighed skal det sikres, at information behandles med fornøden fortrolighed, og at der sker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner. 8

11 It-systemer betragtes næst efter medarbejderne som C2IT A/S mest kritiske ressource. Der lægges derfor vægt på driftssikkerhed, kvalitet, overholdelse af lovgivningskrav og på, at systemerne er brugervenlige, dvs. uden unødigt besværlige sikkerhedsforanstaltninger. Der skal skabes et effektivt værn mod it-sikkerhedsmæssige trusler, således at C2IT A/S image og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Beskyttelsen skal være vendt mod såvel naturgivne som tekniske og menneskeskabte trusler. Alle personer betragtes som værende mulige årsager til brud på sikkerheden, dvs. at ingen persongruppe skal være hævet over sikkerhedsbestemmelserne. Målene er derfor: TILGÆNGELIGHED at opnå høj driftssikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab INTEGRITET - at opnå korrekt og valide funktioner af systemerne, således at risikoen for manipulation af såvel data som fejl i data og systemprocesser minimeres FORTROLIGHED - at opnå fortrolig behandling, transmission og opbevaring af data. Ovenstående mål skal konkretiseres i Service Level Agreements (SLA) og kontrakter over for samarbejdspartnere. Regler og retningslinjer fra sikkerhedspolitikken skal løbende indarbejdes i de relevante gældende regler på personalepolitikkens område. For at identificere og prioritere risici har C2IT A/S valgt at tage udgangspunkt i de tre målområder, som sikkerhedspolitikken er udarbejdet efter. I praksis har Udvalget for sikkerhed anvendt en model til identificering af trussels- og risikobilledet, der er hentet fra bogen Forøg virksomhedens informationssikkerhed, som er udgivet af ITEK og DI 1. Navnlig i relation til målet tilgængelighed vurderes risici i forhold til kundernes afhængighed af C2IT A/S datacenter, ligesom tilgængeligheden af firmaets interne systemer vurderes. Vurderingen er, at det stort set er de samme trusler, der gør sig gældende i begge scenarier. 1 ISBN: , side mere om risikovurdering 9

12 Fysisk sikkerhed Det miljø C2IT tilbyder sine kunder, er fysisk placeret hos serviceleverandøren hos Curanet A/S. Servicen, der leveres af Curanet A/S, er en IaaS (Infrastructure as a Service) platform. De fysiske rammer for underleverandørens datacentre er beskrevet i den ISAE 3402 erklæring, der årligt udarbejdes for underleverandøren. Der er redundante internetforbindelser hos underleverandøren, og der er etableret redundant køling samt brandslukningsanlæg, redundant UPS og redundant dieselgenerator. Området, hvor forsyningssikringen er etableret, er endvidere afspærret med hegn. Der er etableret videoovervågning af hele lokationen. Adgang til bygningerne er begrænset med adgangskort med tilhørende kode samt enkelte fysiske nøgler. C2IT s medarbejdere har ikke fysisk adgang til datacenteret. C2IT modtager årligt en revisorerklæring efter ISAE 3402 standarden på de etablerede kontroller og sikringsforanstaltninger hos underleverandøren. I den seneste offentliggjorte erklæring fra februar 2018, er der ikke anført bemærkninger med betydning for C2IT s fysiske sikkerhed Styring af kommunikation og drift Backup C2IT A/S tilbyder kunder produktet C2IT Backup-Restore som remote backup. Backup-Restoreydelsen leveres i samarbejde med firmaet Front-Safe A/S. Front-Safe A/S varetager den tekniske gennemførelse af backup og håndterer opbevaring af backupdata. Backup-processen er sammensat af flere hovedområder. Første del af processen består i at sikre, at kunden får taget backup af det ønskede, og at C2IT A/S har accept fra kunden i forbindelse med afvigelser fra C2IT A/S standard for backup. Den anden del af processen er daglig drift af opsatte jobs. Hver dag kontrollerer C2IT A/S backupafviklingen af samtlige backupjobs, og den driftsansvarlige har ansvaret for at gennemgå kørslerne hver formiddag, hvor alle kørsler kontrolleres og dokumenteres. Den tredje del består af en halvårlig stikprøvekontrol for at sikre kontinuerlig afprøvning af, at opsatte jobs virker efter hensigten. En gang hvert halve år gennemføres fuld restore-kontrol af en tilfældigt udvalgt kundeserver. Et krav er, at der vælges en ny kunde til kontrollen hver gang. Mindst to år tilbage må der ikke være valgt den samme kunde. 10

13 C2IT A/S modtager årligt en revisorerklæring om de etablerede kontroller og sikringsforanstaltninger hos Front-Safe A/S efter ISAE 3402-standarden. I den seneste offentliggjorte erklæring fra oktober 2017 er der ikke anført bemærkninger med betydning for C2IT A/S backup-løsning. Netværks- og kommunikationssoftware Ansvaret for driften af netværksudstyret håndteres af underleverandøren, som overvåger og opdaterer netværksudstyret i datacenteret. Kun udvalgte brugere hos C2IT Infrastructure har adgang til at logge på firewalls i datacenteret, mens det underliggende netværksudstyr håndteres af underleverandøren. Systemsoftware For at sikre, at kundernes servere er opdaterede, og derved underbygge højest mulige oppetid samt minimere risikoen for fejl og angreb anvender C2IT A/S Microsoft WSUS til kontrol og udrulning af opdateringer til Windows-computere og -servere. Dette sker til eksterne kunder, servere i hosting samt C2IT A/S eget udstyr. Opdateringerne sker automatisk i det førstkommende servicevindue som angivet i kontrakten med kunden efter frigivelse fra producenten, medmindre det er aftalt med kunden, at dette skal fraviges under hensyntagen til kundens drift. De opdateringer, der frigives automatisk, omfatter sikkerhedsopdateringer og kritiske opdateringer, mens andre mindre opdateringer vurderes hver måned og frigives løbende. Installation af større opdateringer i form af Service Packs sker efter aftale med kunden. Den driftsansvarlige kontrollerer status på omfattede servere efter frigivelse af opdateringer fra producenten og følger op på eventuelle afvigelser. Da Microsoft sender sikkerhedsopdateringer ud den anden tirsdag i hver måned, foregår kontrollen af opdateringer altid efter denne dag. I dokumentationen bliver der for hver måned dokumenteret status på maskinerne i hosting. Dette gælder både dem, der mangler at få sikkerhedsopdateringer rullet på, og dem, der ikke mangler opdateringer. Det dokumenteres også, hvad der er blevet foretaget for at få installeret opdateringerne. Hvert kvartal kontrolleres det, om alle hostede Windows-servere er oprettet i WSUS. 11

14 Det er den driftsansvarlige, der er ansvarlig for frigivelse og kontrol af opdateringer samt fejlfinding, hvis kundernes WSUS-servere eller klienter ikke melder ind til hoved-wsus-serveren hos C2IT A/S. Overvågning C2IT A/S målsætning med overvågning er at opdage fejl så hurtigt som muligt og allerhelst forudsige fejl, så vi minimerer eller helt undgår nedetid for kunderne. C2IT A/S overvåger aktivt alarmer i systemet inden for normal arbejdstid (mandag til fredag kl. 7-17) og via alarmering til C2IT A/S vagt uden for normal arbejdstid, alt afhængigt af det tidsrum, der er aftalt med kunden for overvågning af de enkelte servere og services. Overvågning håndteres af flere produkter, der alle er skræddersyet til det delformål, de benyttes til. Formålet varierer fra produkt til produkt og er nærmere beskrevet nedenfor. Målet er at sikre, at C2IT A/S opdager fejlen eller forudser fejlen så hurtigt som muligt og får den afhjulpet. Fejlen og løsningen skal endvidere dokumenteres, så dokumentationen kan bruges til at konstatere eventuel frekvens ved en given fejl, som kan fordre en anden løsning. Overvågningsopgaven varetages af driftsteamet, hvor der er udpeget en driftsvagt, som sikrer udførelse af de daglige overvågningsopgaver. Overvågning generelt Via overvågningsløsningen overvåger vi bl.a. tilgængelighed, diskplads og udvalgte services på enheder og relevante servere, alt efter kontrakter indgået med kunderne. Alarmer, der opfanges af overvågningssystemerne, vises på overvågningsskærmen placeret hos vores driftsteam. Overvågningsløsningen overvåger endvidere netværksenheder, VMware og virtuelle og fysiske servere i datacenteret og ude hos kunderne, afhængigt af indgåede kontrakter om omfang og tidsrum. Ud over den generelle overvågningsløsning indgår en række andre værktøjer i overvågningen af løsningerne, hvor der f.eks. er behov for dybere hardwareovervågning. Det er driftsafdelingens ansvar at fastlægge standarder for opsætning og konfiguration af overvågningsløsningen. 12

15 HP Server og Storage Overvågning af HP-hardware hos kunder med lokal hardware sker, i det omfang det er muligt, og hvor C2IT A/S er kontraktuelt forpligtet hertil. Overvågningen sker dels med den generelle overvågningsløsning og HP Insight Online, som er en online løsning, hvor udstyret kontakter og fejlmelder hardwareproblemer direkte hos HP. Windows- og Linux-servere Overvågningssystemet anvendes til at overvåge tilgængelighed, diskplads og udvalgte services på Windows- og Linux-servere på softwareniveau. ServiceDesk Plus MSP (SD+) C2IT A/S bruger SD+ til styring af opgaver/sager. s sendt til service@c2it.dk registreres automatisk i systemet, og kunden modtager en bekræftelse på, at opgaven er modtaget. Opgaver kan ligeledes registreres af medarbejderne direkte i systemet eller sendes manuelt fra overvågningsløsningen. Det er supportens og Servicedesk Managerens opgave at sikre, at der tages hånd om sagerne, og enten løse opgaverne eller tildele opgaverne til en tekniker, som adviseres via en mail om nye opgaver eller aktivitet på sagerne. Ud fra henvendelsens art tildeles henvendelsen forskellige kategorier, som resulterer i tildeling af en SLA i forhold til enten en First Response og/eller en Due By Date, alt efter hvilken service henvendelsen drejer sig om, og hvad der er lovet i kontrakten med kunden. I tilfælde af større nedbrud træder beredskabsplanen i kraft som beskrevet i itsikkerhedspolitikken, som bl.a. indeholder en definition af en række forskellige roller i forhold til opgaveløsningen, og hvordan der skal kommunikeres med de berørte kunder Adgangskontrol Logisk sikring Alle passwords skal som minimum opfylde best practice-kravene til kompleksitet. Passwords er personlige og skal skiftes med fastsatte intervaller. For de systemer, hvor det er muligt, gælder, at systemerne skal konfigureres således, at kravene til passwords er fastlagt i systemet (f.eks. Windows Group Policy). For de systemer, hvor det ikke er muligt at have personlige passwords gælder, at de skal skiftes i forbindelse med fratrædelse af medarbejdere, som har haft kendskab til disse passwords. 13

16 Fælles passwords gemmes i et centralt system, hvorfra det er muligt at se, hvilke medarbejdere, der har haft adgang til hvilke passwords. Der anvendes passwordbeskyttet screensaver på alle C2IT s pc er, for at forhindre uautoriseret adgang til systemer. Passwordbeskyttet screensaver skal altid aktiveres, når systemet ikke er under brugerens direkte opsyn. Brugeradministration C2IT har defineret formelle procedurer for administration af brugeradgange og tildeling af rettigheder, dels hos kunderne og dels til egne medarbejdere. C2IT har opdelt forretningen i et internt domæne, som omfatter den administrative del af forretningen og i et domæne til driftssystemerne, som giver adgang til kundernes systemer. Generelt tildeles adgang og rettigheder efter need to know -princippet, hvilket bevirker, at der kun tildeles adgang, såfremt en medarbejder har et dokumenteret behov for adgangen. Adgang til kundernes systemer er kundens eget ansvar. C2IT opretter adgange og tildeler rettigheder efter kundernes anvisninger, og foretager som udgangspunkt ikke nogen sikkerhedsvurdering af de tildelte adgange og rettigheder på kundemiljøer. Al adgang til C2IT s interne og administrationssystemer kan kun opnås via en af C2IT s fysiske lokationer og hjemmearbejdspladser, eller via en SSLVPN-løsning med 2-faktor sikkerhed. Al adgang til C2IT s systemer er håndteret med sikkerhedsgrupper for at begrænse adgangen til ressourcer m.m. og for nemt at kunne kontrollere og håndtere, hvad der er adgang til. Ved ansættelse tildeles medarbejderen nødvendige adgange for at kunne udfylde de ønskede jobfunktioner. Brugeradgange kontrolleres en gang i kvartalet, og adgange dokumenteres i dokumentet Brugeradministration. Dette fremsendes til vicedirektøren til godkendelse. Oprettelse og nedlæggelse af brugere sker kun via ServiceDesk Plus MSP ticket s. Disse oprettes eller godkendes af selskabets administrerende direktør eller vicedirektøren, og håndteres af driftsteamet eller teamchefen for Service og Support Business Continuity ManagementEn høj driftssikkerhed er essentiel for den platform C2IT tilbyder kunderne. Datacentrene tilbyder flere niveauer af redundans og backup af fulde virtuelle servere til sekundært site kombineret med mulighed for yderligere databackup til et tertiært site med løbende kontrol af validiteten af backups. 14

17 Der forefindes beredskabsplaner og aftaler med underleverandører til håndtering af disaster recovery scenarier og planerne afprøves og justeres løbende. Beredskabet omfatter både scenarier med genetablering i det primære og i et sekundært datacenter. For kunder, der har et særligt behov, tilbydes en individuel risikoanalyse, et matchende løsningsdesign og tilhørende beredskabsplaner, som rækker videre end gendannelse af it-løsningen. 3.7 Supplerende information omkring det etablerede kontrolmiljø C2IT A/S kontroller er designet ud fra den antagelse, at visse interne kontroller skal være implementeret hos kunderne/brugerne. Implementeringen af sådanne interne kontroller er nødvendige for at opnå de kontrolmål, som er beskrevet i sektion 4. Der kan være yderligere kontrolmål og relaterede kontroller hos kunder, som kan være hensigtsmæssige for transaktioner, og som ikke er angivet i denne beskrivelse. Det er op til den enkelte kunde og/eller dennes revisor at vurdere det konkrete kontraktgrundlag samt behovet for lokalt implementerede kontroller. Dette afsnit beskriver således visse kontrolområder, som kunder bør have implementeret for at opnå de kontrolmål, som er angivet i beskrivelsen. Kontrolovervejelser, som er anført nedenfor skal således ikke ses som en fyldestgørende liste over kontroller, der kan være implementeret hos kunder Levering af serviceydelser Ovenstående systembeskrivelse af kontroller er baseret på C2IT A/S standardservicebeskrivelser for hosting. Det bevirker, at indgåede kundeaftaler, som indeholder serviceydelser, der er forskellige fra standardydelserne, ikke er omfattet af nærværende erklæring. Kundernes egne revisorer bør vurdere, om denne erklæring kan anvendes på den konkrete kundeaftale, og selv afdække eventuelle andre risici, der vurderes som væsentlige for aflæggelsen af kundernes årsregnskaber Brugeradgange C2IT A/S giver adgang og tildeler rettigheder i overensstemmelse med kundernes instrukser, i takt med at disse bliver indmeldt. C2IT A/S er ikke ansvarlig for, at disse informationer er korrekte, og det er således kundernes eget ansvar at sikre, at de tildelte adgange og rettigheder til systemer og applikationer tildeles i overensstemmelse med kundernes egen forventninger til en betryggende funktionsadskillelse i de hostede systemmiljøer. Endvidere er kunderne selv ansvarlige for at definere en politik for brugernes brug af adgangskoder. 15

18 Efterlevelse af relevant lovgivning C2IT A/S tilrettelægger procedurer og kontroller således, at de områder, som er C2IT A/S ansvar, efterleves betryggende. C2IT A/S er ikke ansvarlig for de applikationer og tilhørende databaser mv., som afvikles på det hostede udstyr, og som følge heraf giver denne erklæring ikke sikkerhed for, at der er etableret betryggende kontroller i brugerapplikationerne, herunder at applikationerne efterlever bogføringsloven, persondataloven eller anden lovgivning. 16

19 4. Information distribueret af Deloitte 4.1 Introduktion Denne oversigt er udformet med henblik på at informere kunder om de kontroller hos C2IT A/S, som kan påvirke behandlingen af regnskabsmæssige transaktioner, og samtidig informere om effektiviteten af de kontroller, vi har efterprøvet. Afsnittet, når det kombineres med en forståelse og vurdering af kontrollerne i kundernes forretningsprocesser, har til hensigt at hjælpe kundernes revisorer med dels at planlægge revisionen af årsregnskabet og dels vurdere risici for fejl i kundernes regnskaber, som muligvis påvirkes af kontroller hos C2IT A/S. Vores test af C2IT A/S kontroller er begrænset til de kontrolmål og relaterede kontroller, som vi har nævnt i nedenstående testskema i denne del af rapporten, og er ikke udvidet til at omfatte alle de kontroller, som måtte fremgå af ledelsens systembeskrivelse, herunder kontroller, som udføres af C2IT A/S underleverandører Zitcom og Front-Safe, ligesom kontroller udført hos C2IT A/S kunder ikke er omfattet af vores erklæring. Kontroller udført hos GlobalConnect og Cloud Factory, som er underleverandør på en mindre del af kunder, er heller ikke omfattet. Sidstnævnte forudsættes gennemgået og vurderet af kundernes egne revisorer. Endelig kan der hos kunderne være etableret kompenserende kontroller, som bevirker, at kontrolsvagheder nævnt i denne rapport minimeres til et revisionsmæssigt acceptabelt niveau. Denne vurdering kan alene foretages af kunderne og kundernes revisorer. 4.2 Kontrolmiljøelementer Vores test af kontrolmiljøet omfattede forespørgsler hos relevant ledelse, tilsynsførende og personale samt inspektion af C2IT A/S dokumenter og registreringer. Kontrolmiljøet er vurderet mhp. at bestemme karakteren, timingen og omfanget af kontrollers effektivitet. 4.3 Test af effektivitet Vores test af kontrollers effektivitet omfatter de tests, som vi betragter som nødvendige for at evaluere, hvorvidt de udførte kontroller og overholdelsen af disse er tilstrækkelige til at give en høj, men ikke absolut, overbevisning om, at de specificerede kontrolmål blev opnået i løbet af perioden Vores test af kontrollernes effektivitet er udformet til at dække et repræsentativt antal af transaktioner i løbet af perioden for hver kontrol, jf. nedenfor, som er designet til at opnå de specifikke kontrolmål. I udvælgelsen af specifikke tests har vi overvejet (a) karakteren af de testede områder, (b) typerne af tilgængelig dokumenta- 17

20 tion, (c) karakteren af de revisionsmål, der skal opnås, (d) det vurderede kontrolrisikoniveau og (e) testens forventede effektivitet. 4.4 Testede kontrolmål og kontrolaktiviteter I nedenstående skema er de testede kontrolmål og kontroller anført, ligesom vi har beskrevet, hvilke revisionshandlinger der er udført og resultatet af disse handlinger. I det omfang vi har konstateret væsentlige kontrolsvagheder, har vi anført dette. 18

21 4.4.1 Sikkerhedspolitik Kontrolaktivitet Etableret kontrol hos C2IT A/S Testplan Testresultat Kontrolmål: At give retningslinjer for at understøtte informationssikkerheden i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter It-sikkerhedspolitik Der er udarbejdet en it-sikkerhedspolitik med tilhørende bilag. Politikken er godkendt af ledelsen og bliver løbende opdateret, såfremt der er behov for dette. Deloitte har gennemgået seneste ajourførte itsikkerhedspolitik og vurderet, om denne indeholder relevante områder, og om politikken er godkendt It-risikoanalyse Der er udarbejdet en samlet risikovurdering for C2IT A/S forretning, og denne opdateres løbende, såfremt der er behov for dette. Analysen tager udgangspunkt i fokusområderne i sikkerhedspolitikken og er godkendt af ledelsen. Deloitte har gennemgået seneste ajourførte itrisikoanalyse og vurderet, om denne er betryggende udført og godkendt af ledelsen. 19

22 4.4.2 Styring af kommunikation og drift - Backup Kontrolaktivitet Etableret kontrol hos C2IT A/S Testplan Testresultat Kontrolmål: At forhindre uautoriseret adgang til systemer og applikationer Backupstrategi Der er udarbejdet backupbeskrivelser for hele det hostede miljø. Der laves formel afstemning af datagrundlag for backup med alle kunder forud for implementering. Deloitte har gennemgået backupbeskrivelsen og vurderet, om den i tilstrækkelig grad afdækker den etablerede procedure for backup, samt taget stikprøver på etablering af kundebackup Backupkonfiguration Ændringer til backupkonfigurationen sker i samarbejde med kunden, og der skal for alle ændringer udarbejdes et supplerende installationsdokument. Deloitte har stikprøvevis påset, at udvalgt backupkonfiguration stemmer overens med det udarbejdede installationsdokument Backuptest For at sikre, at der kan foretages gendannelse af data, udføres der med fastsatte mellemrum restoretest. Disse test består altid af en fuld genskabelse af et system for en udvalgt kunde. Restore-testen foretages af driftspersonalet. Resultatet af restore-testen dokumenteres. Deloitte har påset, at backup er udført som forventet, og at der for udvalgte kunder er udført en restore-test mhp. at vurdere validitet og kvalitet af C2IT A/S backupløsning til kunder. 20

23 4.4.3 Styring af kommunikation og drift Netværks og kommunikationssoftware Kontrolaktivitet Etableret kontrol hos C2IT A/S Testplan Testresultat Kontrolmål: At sikre beskyttelse af informationer i netværk og af understøttende informationsbehandling Patch management Relevante firmware-opdateringer bliver løbende vurderet og implementeres efter behov. Dette sker i praksis ved løbende review af hele netværket. Deloitte har stikprøvevis gennemgået, at patching sker, og at dette bliver dokumenteret og godkendes efter de anførte retningslinjer Test Der udføres ikke test af ændringer forud for implementering. Der er fastsat rammer og regler for, hvad og hvornår der må opdateres. Der er etableret redundans på det centrale netværksudstyr, og gamle konfigurationer og softwareversioner gemmes altid. Deloitte har gennemgået dokumentation for opdatering af udvalgt netværksenhed. Endvidere har vi testet, at foranstaltninger til at imødegå risikoen for fejl ved opdatering er til stede Fallback Der laves automatisk sikkerhedskopiering af alle kørende konfigurationer på det centrale netværksudstyr, og disse arkiveres på fildrev. Deloitte har stikprøvevis gennemgået, at der for udvalgte netværkskomponenter forefindes konfigurationer, som vil kunne anvendes til fallback Timing Opdateringer til netværkskonfigurationer sker oftest i drift. Der findes ikke faste servicevinduer. Redundante netværksenheder muliggør opdateringer i drift. Deloitte har gennemgået procedure for opdatering af det centrale netværksudstyr Dokumentation Netværket dokumenteres via IP- og kundeoversigter. Alle de ændringer, der udføres til netværket, dokumenteres i en change log. Deloitte har indhentet dokumentation for netværket og vurderet omfang og kvalitet af den udarbejdede dokumentation Anvendelse af åbne netværk Der anvendes kun lukkede forbindelser til at tilgå C2IT A/S hostede miljøer og kundedomæner. Deloitte har gennemgået dokumentation for netværket og vurderet dette som værende passende. 21

24 4.4.4 Styring af kommunikation og drift - Systemsoftware Kontrolaktivitet Etableret kontrol hos C2IT A/S Testplan Testresultat Kontrolmål: At sikre integriteten af driftssystemer Patch management Implementering af patches sker på faste, planlagte tidspunkter. Opdatering af Windows-servere sker via frigivelse fra WSUS. Alle opdateringer dokumenteres. Deloitte har stikprøvevis påset, at der løbende sker patching af servere Test C2IT A/S udfører ikke test af opdateringer til Windows forud for implementering. Opdateringsstrategien er, altid at sikre alle servere med nyeste security updates og efterfølgende udbedre eventuelle fejl, idet der ikke kan udføres test på alle forskellige kundeservere. Deloitte har gennemgået proceduren for opdatering af Windows-servere Fallback Såfremt en patch fejles, afinstalleres den af driftsteamet. Er dette ikke muligt, reetableres serveren ud fra backup. Deloitte har stikprøvevis påset, at der i forbindelse med patching af systemsoftware er taget stilling til muligheden for fallback Timing Nye opdateringer installeres løbende, efterhånden som de frigives af leverandøren. Servere genstartes automatisk på faste tidspunkter. Der foretages dokumenteret opfølgning på alle opdateringer. Deloitte har stikprøvevis påset, at der i forbindelse med patching af systemsoftware er taget stilling til timing af implementeringen i produktion Dokumentation Der er etableret systemdokumentation for både interne servere og det hostede miljø. Oversigterne vedligeholdes løbende. Deloitte har vurderet, om dokumentationen for de anvendte systemer er betryggende. 22

25 4.4.5 Styring af kommunikation og drift Overvågning Kontrolaktivitet Etableret kontrol hos C2IT A/S Testplan Testresultat Kontrolmål: At registrere hændelser og tilvejebringe bevis Overvågning Der er etableret automatisk overvågning af alle relevante servere og services, og der gives alarmer til driftspersonalet ved fejl. Deloitte har stikprøvevis gennemgået alarmer fra driftsmiljøet og kontrolleret, at der for kritiske alarmer er foretaget opfølgning Incidenthåndtering Der er etableret en fast procedure for registrering af henvendelser fra kunder, og der udarbejdes dokumentation for løsning på alle incidents. Deloitte har gennemgået en stikprøve af registrerede incidents i perioden og kontrolleret, at henvendelser er besvaret og lukket inden for rimelig tid Itsikkerhedslogning Der er opsat default-logning af sikkerhedsmæssige hændelser på C2IT A/S infrastruktur samt brugernes adgang til kundesystemer. Der foretages ikke gennemgang af logge, da C2IT A/S baserer driftssikkerheden på realtidsovervågning i stedet. Deloitte har verificeret, om logning af kritiske systemer og netværk følger godkendte logningskrav. Endvidere har vi testet for alarmering fra overvågningen, at denne fungerer som forventet. 23

26 4.4.6 Adgangskontrol Logisk sikring Kontrolaktivitet Etableret kontrol hos C2IT A/S Testplan Testresultat Kontrolmål: At forhindre uautoriseret adgang til systemer og applikationer Itsikkerhedsorganisationen It-sikkerhedsmæssige roller og ansvarsområder er fordelt og beskrevet i sikkerhedspolitikken, og medarbejderne er bekendt med deres arbejdsopgaver og funktioner. Deloitte har ved interview gennemgået funktionerne i organisationen og konstateret, at medarbejderne var bekendt med deres ansvar Anvendelse af passwords Autentificering af brugere sker via Windows AD og herfra yderligere adgangsstyring for at administrere den øvrige infrastruktur. Deloitte har gennemgået konfigurationen af passwordsettings på det interne domæne og verificeret, at denne er i overensstemmelse med det i proceduren anførte Ændring af standardpasswords Kendte standardpasswords skiftes altid efter behov. Den indbyggede administrator på det interne domæne er omdøbt, og der anvendes individuelle brugerprofiler på centralt netværksudstyr etc. Deloitte har gennemgået brugere på det interne domæne og drøftet anvendelsen af brugerprofiler på den yderligere infrastruktur. 24

27 4.4.7 Adgangskontrol - Brugeradministration Kontrolaktivitet Etableret kontrol hos C2IT A/S Testplan Testresultat Kontrolmål: At sikre adgang for autoriserede brugere og forhindre uautoriseret adgang til systemer og tjenester Oprettelser og ændringer Brugere oprettes kun på baggrund af skriftlige henvendelser i ticketsystem eller via og accept fra den administrerende direktør. Brugerne tildeles rettigheder i forhold til deres jobfunktion. Deloitte har gennemgået procedure for brugeradministration, gennemgået udvalgte brugere og vurderet, om der er et gyldigt grundlag for de tildelte adgange og rettigheder rettighe- Udvidede der Alle brugeradgange til systemer administreres ud fra samme procedure, og adgange tildeles kun på baggrund af formel godkendelse fra direktøren. Kun et fåtal har administrativ adgang til det interne domæne. Der foretages regelmæssig gennemgang af brugere. Deloitte har gennemgået brugere med udvidede rettigheder på C2IT A/S centrale infrastruktur og verificeret, at brugerne er godkendt til de tildelte rettigheder og har et arbejdsbetinget behov for denne adgang Nedlæggelser Nedlæggelse af brugere sker på baggrund af skriftlig henvendelse fra medarbejderens nærmeste forestående. Al dokumentation arkiveres i ticketsystem. Deloitte har gennemgået proceduren for brugeradministration og testet en stikprøve af brugernedlæggelser og kontrolleret, at brugerprofiler tilhørende fratrådte medarbejdere var lukket Periodisk review af rettigheder Der udføres regelmæssigt review af alle brugere på C2IT A/S systemer, og rettigheder tilrettes herefter. Brugergennemgange dokumenteres og godkendes af ledelsen. Deloitte har drøftet proceduren for regelmæssig brugergennemgang med C2IT A/S og gennemgået dokumentation for senest udførte gennemgang Anvendelse af brugerprofiler Brugere er oprettet i Windows AD, og alle anvender individuelle brugerprofiler. I de tilfælde, hvor der anvendes fællesbrugere, er der opsat logning, der muliggør unik sporing af hændelser til den enkelte bruger. Deloitte har gennemgået anvendelsen af brugerprofiler på det interne domæne og verificeret, at disse er personlige og identificerbare. 25

28 4.4.8 Business Continuity Management Kontrolaktivitet Etableret kontrol hos C2IT A/S Testplan Testresultat Kontrolmål: Informationssikkerhedskontinuiteten skal være forankret i organisationens ledelsessystemer for nød-, beredskabs- og reetableringsstyring Retningslinjer Der er etableret retningslinjer for etablering af nøddrift samt reetablering af den normale drift. Endvidere er der lavet aftaler med leverandører om support på væsentligt udstyr. Deloitte har gennemgået C2IT A/S etablerede foranstaltninger for videreførelse af driften Test Beredskabet testes regelmæssigt ved simuleret skrivebordstest. Dette er senest udført i Deloitte har gennemgået dokumentation for seneste skrivebordstest af beredskabsplanen. MIBA/as T:\Afd1180\C2IT\2018\C2IT 3402 erklæring maj 2018 END docx 26