ISAE 3402 type 2-erklæring om generelle it-kontroller relateret til drifts- og hostingydelser.

Transkript

1 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon: Fax: C2IT A/S ISAE 3402 type 2-erklæring om generelle it-kontroller relateret til drifts- og hostingydelser. Erklæringen omfatter perioden fra 1. maj 2018 til 30. april 2019 Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for en eller flere af Deloitte Touche Tohmatsu Limited ( DTTL ), dets netværk af medlemsfirmaer og deres tilknyttede virksomheder. DTTL (der også omtales som Deloitte Global ) og alle dets medlemsfirmaer udgør separate og uafhængige juridiske enheder. DTTL leverer ikke ydelser til kunderne. Vi henviser til for nærmere oplysninger.

2 Indholdsfortegnelse 1 Serviceleverandørs uafhængige revisors erklæring med sikkerhed 1 2 Serviceleverandørs udtalelse 4 3 Serviceleverandørs systembeskrivelse 5 4 Serviceleverandørs kontrolmål, kontroller, test og resultatet heraf 12 5 Supplerende information fra C2IT A/S 21

3 1 Serviceleverandørs uafhængige revisors erklæring med sikkerhed Serviceleverandørs uafhængige revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet Til: ledelsen hos C2IT A/S, C2IT A/S kunder og deres revisorer Omfang Vi har fået til opgave at afgive erklæring om C2IT A/S (herefter C2IT) beskrivelse i afsnit 3, serviceleverandørs systembeskrivelse af drift- og hostingydelser i hele perioden fra 1. maj 2018 til 30. april 2019 (beskrivelsen) og om udformningen og funktionaliteten af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. C2IT anvender serviceunderleverandørerne: Zitcom A/S (Curanet): o Fysisk sikring af C2IT s systemmiljø o Drift af underliggende infrastruktur, herunder kritiske netværkskomponenter. Front-Safe A/S o Backup. Serviceleverandørens systembeskrivelse omfatter ikke kontrolmål og tilknyttede kontroller hos serviceunderleverandøren. Denne erklæring er udarbejdet efter partielmetoden og omfatter således ikke kontroller hos serviceunderleverandøren. Oplysningerne i afsnit 5, Supplerende information fra C2IT A/S, er udarbejdet af C2IT for at give yderligere information og skal ikke ses som en del af systembeskrivelsen. Oplysningerne i afsnit 5 er ikke omfattet af vores handlinger og danner således ikke grundlag for vores konklusion. Nogle af de kontrolmål, der er anført i C2IT s beskrivelse af sit system, kan kun nås, hvis de komplementerende kontroller hos kunderne er hensigtsmæssigt udformet og fungerer effektivt sammen med kontrollerne hos C2IT. Erklæringen omfatter ikke hensigtsmæssigheden af udformningen og funktionaliteten af disse komplementerende kontroller. C2IT s ansvar C2IT er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udtalelse i afsnit 2, Serviceleverandørs udtalelse, herunder fuldstændigheden, nøjagtigheden og måden hvorpå beskrivelsen og udtalelsen er præsenteret, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Vores uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i IESBA s Etiske regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Deloitte anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. Serviceleverandørens revisors ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om C2IT s beskrivelse samt om udformningen og funktionaliteten af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. 1

4 Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte kontrolmål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2, Serviceleverandørs udtalelse. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør C2IT s beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i afsnit 2. Det er vores opfattelse, (a) (b) (c) at beskrivelsen af drifts- og hostingydelserne, således som det var udformet og implementeret i hele perioden fra 1. maj 2018 til 30. april 2019, i alle væsentlige henseender er retvisende at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. maj 2018 til 30. april 2019, og at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden fra 1. maj 2018 til 30. april Beskrivelse af test af kontroller De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse test fremgår af afsnit 4. 2

5 Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller i afsnit 4 er udelukkende tiltænkt kunder, der har anvendt C2IT s drifts-og hostingydelser, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlig fejlinformation i deres regnskaber. København, den 3. juli 2019 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Thomas Kühn partner, statsautoriseret revisor Michael Bagger director, CISA 3

6 2 Serviceleverandørs udtalelse C2IT s udtalelse Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt C2IT s drifts og hostingydelser, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. C2IT bekræfter, at: a) Den medfølgende beskrivelse i afsnit 3 giver en retvisende beskrivelse af de generelle kontroller i tilknytning til C2IT s drifts og hostingydelser i hele perioden fra 1. maj 2018 til 30. april Kriterierne for denne udtalelse var, at den medfølgende beskrivelse: i. redegør for, hvordan de generelle it-kontroller var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til styringen af de generelle it-kontroller relevante kontrolmål og kontroller udformet til at nå disse mål kontroller, som vi med henvisning til kontrollernes udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder de tilknyttede forretningsgange) og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner. ii. iii. indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra 1. maj 2018 til 30. april ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system, under hensyntagen til at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse for vigtigt efter deres særlige forhold. b) De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. maj 2018 til 30. april Kriterierne for denne udtalelse var, at: i. de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret ii. de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og iii. kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. maj 2018 til 30. april Esbjerg, den 3. juli 2019 C2IT A/S Carsten Sixhøi CEO 4

7 3 Serviceleverandørs systembeskrivelse 3.1 Introduktion Denne beskrivelse er udfærdiget med henblik på at levere information til brug for kunder hos C2IT og disses revisorer i overensstemmelse med kravene i den danske revisionsstandard ISAE3402 for erklæringsopgaver om kontroller hos serviceleverandør. Beskrivelsen omfatter informationer om system- og kontrolmiljøet, der er etableret i forbindelse med C2IT s leverance af serviceydelser inden for it-drift og - hosting. Beskrivelsen indeholder beskrivelser af de anvendte procedurer til sikring af en betryggende afvikling af systemer. Formålet er at give tilstrækkelige informationer til, at kunders revisorer selvstændigt kan vurdere afdækningen af risici for svagheder i kontrolmiljøet, i det omfang det kan medføre en risiko for væsentlige fejl i kunders it-drift for perioden Beskrivelse af C2IT s ydelser C2IT A/S er en 100% danskejet it-virksomhed. Vi er et team af fokuserede, kompetente mennesker, der hver dag brænder for at hjælpe vores kunder med at udvikle, planlægge, implementere og drive deres itinfrastruktur. C2IT A/S er etableret i 2003 og har, sagt med jysk beskedenhed, fra starten kunne mærke, at det vi siger og gør for vores kunder giver dem værdi. Det har betydet en kraftig, men kontrolleret vækst gennem årene. Hos C2IT A/S hjælper vi mellemstore danske og internationale virksomheder med at nå deres forretningsmæssige mål ved at give dem en moden, effektiv og serviceorienteret it-organisation. Vi skaber sammenhæng mellem vores kunders it-drift og forretningsmæssige behov, minimerer deres risici og gør dem i stand til at bruge kræfterne på kerneforretningen. Med dette som udgangspunkt leverer vi blandt andet it-løsninger direkte til kunden som hostede it-løsninger via vores datterselskab C2IT Infrastructure A/S, hvor vores kunders it er placeret hos en ISAE3402-certificeret underleverandør (Curanet A/S). Denne erklæring omfatter derfor følgende ydelser inden for outsourcing og hosting af it-systemer leveret af C2IT A/S via C2IT Infrastructure A/S: Serverhosting hvorpå de af kunden ønskede applikationer og services installeres. Som eksempel kan nævnes ERP-løsninger, branchespecifikke løsninger og mail Backup i form af data og/eller image-baseret backup Sikker adgang til kundens systemer og data Drift, vedligehold og overvågning af netværk og servere Sikkerhed i relation til it-løsningerne, herunder, logning, antivirus og sikker adgang. C2IT ønsker at tilbyde vores kunder den tryghed og sikkerhed, der skal til, for at kunden får en sikker og rettidig driftsafvikling, som samtidig tager hensyn til, at kunden skal drive en effektiv forretning. Gennem vores medlemskab af Danish Cloud Community (tidligere BFIH), samt ved denne revisionserklæring, ønsker C2IT at synliggøre vores professionelle håndtering af hostingydelserne for vores kunder. 3.3 Organisation og sikkerhed C2IT A/S har i alt cirka 88 medarbejdere fordelt på 4 lokationer (Ballerup, Esbjerg, Kolding og Aarhus), hvoraf 25 arbejder i datterselskabet C2IT Infrastructure A/S. Sidstnævnte er organiseret i følgende overordnede grupper: Ledelse og administration Projekt og konsulent 5

8 Service og Support Drift Salg 3.4 Risikostyring ved C2IT C2IT har fastsat processer for løbende risikovurdering af forretning. Formålet med it-risikovurderingen er at sikre, at de risici, som er forbundet med de services og ydelser, som C2IT stiller til rådighed, er reduceret til et acceptabelt niveau. Risikovurderingsprocessen består dels af en generel risikovurdering af C2IT s samlede forretning i relation til levering af drift- og hosting ydelser og dels af projektspecifikke vurderinger ved ændringer af teknologi og interne processer. Den generelle it-risikovurdering revurderes med fastsatte intervaller og som minimum en gang årligt. Itrisikovurderingen gennemføres af relevante medarbejdere på flere niveauer i organisationen og godkendes af C2IT Infrastructures tekniske direktør. 3.5 Kontrolrammer, kontrolstruktur og kriterier for kontrolimplementering C2IT Infrastructures it-sikkerhedspolitik er gældende for alle medarbejdere og er etableret med henblik på at skabe et styringsværktøj for hensigtsmæssig og pålidelig drift af de kerneydelser, som C2IT tilbyder kunderne. Der arbejdes løbende med forbedring af de etablerede driftsprocedurer, skærpelse af det generelle sikkerheds- og serviceniveau samt forbedring af dokumentation for de etablerede kontroller. Fastsættelse af kriterier og omfang for kontrolimplementering hos C2IT Infrastructure sker ud fra ISO 27001/27002-standarderne. Med udgangspunkt i dette kontrol-framework er relevante kontrolområder og kontrolaktiviteter implementeret på de serviceydelser, som leveres af C2IT A/S. Med udgangspunkt i den valgte kontrolmodel indgår følgende kontrolområder i det samlede kontrolmiljø: Sikkerhedspolitik Fysisk sikkerhed Styring af kommunikation og drift o Backup o Netværks- og kommunikationssoftware o Systemsoftware o Overvågning Adgangskontrol o Logisk sikring o Brugeradministration o Logning Business Continuity Management 3.6 Etableret kontrolmiljø Nedenfor er de enkelte kontrolområder nærmere beskrevet Sikkerhedspolitik C2IT ønsker at opretholde og løbende udbygge et it-sikkerhedsniveau på højde med de krav, som skitseres i Den fællesstatslige standard for informationssikkerhed (DS 484 basale krav). Kravene skærpes efter særskilt aftale med den enkelte kunde på veldefinerede områder, hvor der er specielle lovkrav, aftaleretslige forhold eller evt. særlig risiko. Fastholdelse og udbygning af et højt sikkerhedsniveau er en væsentlig forudsætning for, at C2IT fremstår troværdigt. Og netop for at fastholde C2IT s troværdighed skal det sikres, at information behandles med fornøden fortrolighed, og at der sker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner. 6

9 It-systemer betragtes, næst efter medarbejderne, som C2IT s mest kritiske ressource. Der lægges derfor vægt på driftssikkerhed, kvalitet, overholdelse af lovgivningskrav og på, at systemerne er brugervenlige, dvs. uden unødigt besværlige sikkerhedsforanstaltninger. Der skal skabes et effektivt værn mod it-sikkerhedsmæssige trusler, således at C2IT s image og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Beskyttelsen skal være vendt imod såvel naturgivne som tekniske og menneskeskabte trusler. Alle personer betragtes som værende mulig årsag til brud på sikkerheden, dvs. at ingen persongruppe skal være hævet over sikkerhedsbestemmelserne. Målene er derfor: TILGÆNGELIGHED at opnå høj driftssikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab INTEGRITET - at opnå korrekte og valide funktioner af systemerne, således at risiko for manipulation af data såvel som fejl i data og systemprocesser minimeres FORTROLIGHED - at opnå fortrolig behandling, transmission og opbevaring af data Ovenstående mål skal konkretiseres i Service Level Agreements (SLA) og kontrakter over for samarbejdspartnere. Regler og retningslinjer fra sikkerhedspolitikken skal løbende indarbejdes i de relevante gældende regler på personalepolitikkens område. For at identificere og prioritere risici har C2IT valgt at tage udgangspunkt i de tre målområder, som sikkerhedspolitikken er udarbejdet efter. I praksis har Udvalget for sikkerhed anvendt en model til identificering af trussels- og risikobillede hentet fra bogen Forøg virksomhedens informationssikkerhed, som er udgivet af ITEK og DI. Særligt i relation til målet tilgængelighed vurderes risici i forhold til kundernes afhængighed af C2IT s datacenter, ligesom tilgængelighed af firmaets interne systemer vurderes. Vurderingen er, at det stort set er de samme trusler, der gør sig gældende i begge scenarier Fysisk sikkerhed Det miljø C2IT tilbyder sine kunder, er fysisk placeret hos serviceleverandøren Curanet A/S (Zitcom A/S). Servicen, der leveres af Curanet A/S, er en IaaS (Infrastructure as a Service) platform. De fysiske rammer for underleverandørens datacentre er beskrevet i den ISAE 3402-erklæring, der årligt udarbejdes for underleverandøren. Der er redundante internetforbindelser hos underleverandøren, og der er etableret redundant køling samt brandslukningsanlæg, redundant UPS og redundant dieselgenerator. Området, hvor forsyningssikringen er etableret, er endvidere afspærret med hegn. Der er etableret videoovervågning af hele lokationen. Adgang til bygningerne er begrænset med adgangskort med tilhørende kode samt enkelte fysiske nøgler. C2IT s medarbejdere har ikke fysisk adgang til datacenteret. C2IT modtager årligt en revisorerklæring efter ISAE 3402-standarden på de etablerede kontroller og sikringsforanstaltninger hos underleverandøren. I den seneste offentliggjorte erklæring fra marts 2019 er der ikke anført bemærkninger med betydning for C2IT s fysiske sikkerhed Styring af kommunikation og drift Backup C2IT tilbyder kunder produktet C2IT Backup-Restore som remote backup. Backup-Restore-ydelsen leveres i samarbejde med firmaet Front-Safe A/S. Front-Safe A/S varetager den tekniske gennemførelse af backup og håndterer opbevaring af backupdata. Backup-processen er sammensat af flere hovedområder. Første del af processen består i at sikre, at kunden får taget backup af det ønskede, og at C2IT har accept fra kunden i forbindelse med afvigelser fra C2IT's standard for backup. 7

10 Den anden del af processen er daglig drift af opsatte jobs. Hver dag kontrollerer C2IT backupafviklingen af samtlige backup jobs, og den driftsansvarlige har ansvaret for at gennemgå kørslerne hver formiddag, hvor alle kørsler kontrolleres og dokumenteres. Den tredje del består af en løbende automatisk kontrol af gendannelse af filer og databaser for at sikre kontinuerlig afprøvning af, at opsatte jobs virker efter hensigten. C2IT modtager årligt en revisorerklæring efter ISAE 3402-standarden på de etablerede kontroller og sikringsforanstaltninger hos Front-Safe A/S. I den seneste offentliggjorte erklæring fra oktober 2018 er der ikke anført bemærkninger med betydning for C2IT s backup-løsning Netværks- og kommunikationssoftware Ansvaret for driften af netværksudstyret håndteres af datacenterunderleverandøren, som overvåger og opdaterer netværksudstyret i datacenteret. Kun udvalgte brugere hos C2IT Infrastructure har adgang til at logge på firewalls i datacenteret, mens det underliggende netværksudstyr håndteres af underleverandøren Systemsoftware For at sikre at kundernes servere er opdaterede og derved underbygge højest mulige oppetid samt minimere risiko for fejl og angreb, anvender C2IT Microsoft WSUS til kontrol og udrulning af opdateringer til Windows-computere og -servere. Dette sker til eksterne kunder, servere i hosting samt C2IT s eget udstyr. Opdateringerne sker automatisk i det førstkommende servicevindue, som angivet i kontrakten med kunden, efter frigivelse fra producenten, medmindre det er aftalt med kunden, at dette skal fraviges under hensyntagen til kundens drift. De opdateringer, der frigives automatisk, omfatter sikkerhedsopdateringer og kritiske opdateringer, mens andre mindre opdateringer vurderes hver måned og frigives løbende. Installation af større opdateringer i form af Service Packs sker efter aftale med kunden. Den driftsansvarlige kontrollerer status på omfattede servere efter frigivelse af opdateringer fra producenten og følger op på eventuelle afvigelser. Da Microsoft sender sikkerhedsopdateringer ud den 2. tirsdag i hver måned, foregår kontrollen af opdateringer altid efter denne dag. I dokumentationen bliver der for hver måned dokumenteret status på maskinerne i hosting. Dette gælder både dem, der mangler at få sikkerhedsopdateringer rullet på, og dem der ikke mangler opdateringer. Der dokumenteres også, hvad der er blevet foretaget for at få installeret opdateringerne. Hvert kvartal kontrolleres det, om alle hostede Windows-servere omfattet af patch management er oprettet i WSUS. Det er driftsteamet, der er ansvarlig for frigivelse og kontrol af opdateringer samt fejlfinding, hvis kundernes WSUS-servere eller klienter ikke melder ind til WSUS-serveren hos C2IT Overvågning C2IT s målsætning med overvågning er at opdage fejl så hurtigt som mulig og allerhelst forudsige fejl, så vi minimerer eller helt undgår nedetid for kunderne. C2IT overvåger aktivt alarmer i systemet inden for normal arbejdstid (mandag til fredag 7-17) og via alarmering til C2IT s vagt uden for normal arbejdstid, alt afhængig af det tidsrum der er aftalt med kunden for overvågning af de enkelte servere og services. Overvågning håndteres af flere produkter, der alle er skræddersyet til det delformål, de benyttes til. Formålet varier i forhold til produktet og er nærmere beskrevet nedenfor. Målet er at sikre, at C2IT opdager 8

11 fejlen, eller forudser fejl, så hurtigt som muligt, og får den løst. Fejlen og løsning skal endvidere dokumenteres, så dette kan bruges til at konstatere evt. frekvens ved en given fejl, som kan fordre anden løsning. Overvågningsopgaven varetages af driftsteamet, som sikrer udførelsen af de daglige overvågningsopgaver. Overvågning generelt Via overvågningsløsningen overvåger vi bl.a. tilgængelighed, diskplads og udvalgte services på enheder og relevante servere, alt efter kontrakter indgået med kunderne. Alarmer, der opfanges af overvågningssystemerne, vises på overvågningsskærmen placeret hos driftsteamet. Overvågningsløsningen overvåger endvidere netværksenheder, VMware, virtuelle og fysiske servere i datacenteret og ude hos kunderne afhængig af indgåede kontrakter om omfang og tidsrum. Ud over den generelle overvågningsløsning indgår en række andre værktøjer i overvågningen af løsningerne, hvor der fx er behov for dybere hardwareovervågning. Det er driftsteamets ansvar at fastlægge standarder for opsætning og konfiguration af overvågningsløsningen. HP Server og Storage Overvågning af HP-hardware hos kunder med lokal hardware sker i den grad, det er muligt, og hvor C2IT er kontraktuelt forpligtet til det. Overvågningen sker dels med den generelle overvågningsløsning og HP Insight Online, som er en online-løsning, hvor udstyret kontakter og fejlmelder hardware-problemer direkte hos HP. Windows- og Linux-servere Overvågningssystemet anvendes til at overvåge tilgængelighed, diskplads og udvalgte services på Windows- og Linux-servere på softwareniveau. ServiceDesk Plus MSP (SD+) C2IT bruger SD+ til styring af opgaver/sager. Mails sendt til service@c2it.dk registreres automatisk i systemet, og kunden modtager en bekræftelse på, at opgaven er modtaget. Opgaver kan ligeledes registreres af medarbejderne direkte i systemet eller sendes manuelt fra overvågningsløsningen. Det er Service- og Supportteamets opgave at sikre, at der tages hånd om sagerne og enten løse opgaverne eller tildele opgaverne til en tekniker, som adviseres via en mail om nye opgaver eller aktivitet på sagerne. Ud fra henvendelsens art tildeles henvendelsen forskellige kategorier, som resulterer i tildeling af en SLA i forhold til enten en First Response og/eller en Due By Date, alt efter hvilken service henvendelsen drejer sig om, og hvad der er lovet i kontrakten med kunden. I tilfælde af større nedbrud træder Beredskabsplanen i kraft, som beskrevet it-sikkerhedspolitikken. Beredskabsplanen indeholder bl.a. en definition af en række forskellige roller i forhold til opgaveløsningen, og hvordan der skal kommunikeres med de berørte kunder Adgangskontrol Logisk sikring Alle passwords skal som minimum opfylde best practice-kravene til kompleksitet. Passwords er personlige og skal skiftes med fastsatte intervaller. For de systemer, hvor det er muligt, gælder, at systemerne skal konfigureres således, at kravene til passwords er fastlagt i systemet (f.eks. Windows Group Policy). For de systemer, hvor det ikke er muligt at have personlige passwords, gælder, at de skal skiftes i forbindelse med fratrædelse af medarbejdere, som har haft kendskab til disse passwords. 9

12 Fælles passwords gemmes i et centralt system, hvorfra det er muligt at se hvilke medarbejdere, der har haft adgang til hvilke passwords. Der anvendes passwordbeskyttet screensaver på alle C2IT s pc er, for at forhindre uautoriseret adgang til systemer. Passwordbeskyttet screensaver skal altid aktiveres, når systemet ikke er under brugerens direkte opsyn Brugeradministration C2IT har defineret formelle procedurer for administration af brugeradgange og tildeling af rettigheder, dels hos kunderne og dels til egne medarbejdere. C2IT har opdelt forretningen i et internt domæne, som omfatter den administrative del af forretningen og i et domæne til driftssystemerne, som giver adgang til kundernes systemer. Generelt tildeles adgang og rettigheder efter need to know -princippet, hvilket bevirker, at der kun tildeles adgang, såfremt en medarbejder har et dokumenteret behov for adgangen. Adgang til kundernes systemer er kundens eget ansvar. C2IT opretter adgange og tildeler rettigheder efter kundernes anvisninger og foretager som udgangspunkt ikke nogen sikkerhedsvurdering af de tildelte adgange og rettigheder på kundemiljøer. Al adgang til C2IT s interne og administrationssystemer kan kun opnås via en af C2IT s fysiske lokationer eller via en SSLVPN-løsning med 2-faktorsikkerhed. Al adgang til C2IT s systemer er håndteret med sikkerhedsgrupper for at begrænse adgangen til ressourcer m.m. og for nemt at kunne kontrollere og håndtere, hvad der er adgang til. Ved ansættelse tildeles medarbejderen nødvendige adgange for at kunne udfylde de ønskede jobfunktioner. Brugeradgange kontrolleres en gang i kvartalet, og adgange dokumenteres i dokumentet Brugeradministration. Dette fremsendes til den tekniske direktør til godkendelse. Oprettelse og nedlæggelse af brugere sker kun via tickets i ServiceDesk-systemet. Disse oprettes eller godkendes af selskabets direktion og håndteres af driftsteamet eller teamchefen for Service og Support. Der er opsat logning på den centrale infrastruktur samt C2IT s adgange til kundernes miljøer. C2IT foretager ikke en proaktiv gennemgang af logge, men log-rapporter kan genereres til formål for fejlsøgning Business Continuity Management En høj driftssikkerhed er essentiel for den platform C2IT tilbyder kunderne. Datacentrene tilbyder flere niveauer af redundans og backup af fulde virtuelle servere til sekundært site kombineret med mulighed for yderligere databackup til et tertiært site med løbende kontrol af validiteten af backups. Der forefindes beredskabsplaner og aftaler med underleverandører til håndtering af disaster recoveryscenarier, og planerne afprøves og justeres løbende. Beredskabet omfatter både scenarier med genetablering i det primære og i et sekundært datacenter. For kunder, der har et særligt behov, tilbydes en individuel risikoanalyse, et matchende løsningsdesign og tilhørende beredskabsplaner, som rækker videre end gendannelse af it-løsningen. 3.7 Supplerende information omkring det etablerede kontrolmiljø og forhold som skal iagttages af kundernes revisorer Levering af serviceydelser Ovenstående systembeskrivelse af kontroller er baseret på C2IT s standard servicebeskrivelser for hosting. Det bevirker, at indgåede kundeaftaler, som indeholder serviceydelser, der er forskellige fra standardydelserne, ikke er omfattet af nærværende erklæring. Kundernes egne revisorer bør vurdere, om denne erklæring kan anvendes på den konkrete kundeaftale og selv afdække eventuelle andre risici, der vurderes som væsentlige for aflæggelse af kundernes årsregnskaber. 10

13 3.7.2 Brugeradministration C2IT giver adgang og tildeler rettigheder i overensstemmelse med kundernes instrukser. Det er kundens eget ansvar at sikre, at de tildelte adgange og rettigheder til systemer og applikationer sker i overensstemmelse med kundernes egne arbejdsgange, forventninger til en betryggende funktionsadskillelse i de hostede systemmiljøer, og at informationen, som videregives til C2IT, er korrekt. Endvidere er det kundens eget ansvar, periodisk, at sikre brugeradgange fortsat er tildelt på foranledning af et arbejdsbetinget behov Sikkerhedskonfiguration Det er kundernes eget ansvar at sikre implementering af passende passwordkrav på deres egne systemer og applikationer i de hostede miljøer. Endvidere er det kundernes eget ansvar at vurdere, hvorvidt det er nødvendigt at designe og implementere en proaktiv logkontrol i henhold til kundernes interne kontrolmiljøer og de risici, der er forbundet med kontrollerne Efterlevelse af relevant lovgivning C2IT tilrettelægger procedurer og kontroller således, at de områder, som er C2IT s ansvar, efterleves betryggende. C2IT er ikke ansvarlig for applikationer, som afvikles på det hostede udstyr, og som følge af dette omfatter denne erklæring ikke sikkerhed for, at der er etableret betryggende kontroller i brugerapplikationerne, herunder at applikationerne efterlever bogføringsloven, persondataloven eller anden relevant lovgivning. 11

14 4 Serviceleverandørs kontrolmål, kontroller, test og resultatet heraf 4.1 Introduktion Denne rapport er udformet med henblik på at informere C2IT s kunder om C2IT s systemer og kontroller, som kan påvirke behandlingen af forretningsrelaterede transaktioner og samtidig informere C2IT s kunder om funktionaliteten af de kontroller, der blev efterprøvet. Afsnittet, når det kombineres med en forståelse og vurdering af kontrollerne i brugerorganisationernes forretningsprocesser, har til hensigt at hjælpe brugerorganisationens revisor til at (1) planlægge revisionen af brugerorganisationens årsregnskaber og (2) vurdere risici for fejl i årsregnskaber, som muligvis påvirkes af de generelle it-kontroller hos C2IT. Vores test af C2IT s kontroller er begrænset til de kontrolmål og tilknyttede kontroller, som er nævnt i nedenstående kontrolmatrix i denne del af rapporten, og er ikke udvidet til at omfatte alle de kontroller, som er beskrevet i systembeskrivelsen, eller til de generelle it-kontroller, som skal være implementeret i brugerorganisationerne for at opfylde kontrolmålene. Det er hver brugerorganisations revisors ansvar at evaluere denne information i forhold til de kontroller, som eksisterer i hver brugerorganisation. Hvis bestemte supplerende kontroller ikke er til stede i brugerorganisationerne, kan C2IT s kontroller muligvis ikke kompensere for sådanne svagheder. Oplysningerne i afsnit 5, Supplerende information fra C2IT A/S, er udarbejdet af C2IT for at give yderligere information og skal ikke ses som en del af systembeskrivelsen. Oplysningerne i afsnit 5 er ikke omfattet af vores handlinger og danner således ikke grundlag for vores konklusion. 4.2 Test af kontroller De test, der udføres i forbindelse med fastlæggelsen af kontrollers funktionalitet, består af en eller flere af følgende metoder: Metode Forespørgsel Observation Inspektion Genudførelse af kontrollen Beskrivelse Forespørgsel hos udvalgt personale hos C2IT Observation af kontrollens udførelse Inspektion af dokumenter og rapporter, som indeholder angivelse af udførelsen af kontroller. Dette omfatter bl.a. gennemlæsning af og stillingtagen til rapporter og anden dokumentation for at vurdere, om specifikke kontroller er udformet, så de kan forventes at blive effektive, hvis de implementeres. Endvidere vurderes det, om kontroller overvåges og kontrolleres tilstrækkeligt og med passende intervaller. Gentagelse af den relevante kontrol med henblik på at verificere, at kontrollen fungerer som forudsat 4.3 Test af kontrollernes funktionalitet Vores test af kontrollernes funktionalitet inkluderer de test, som vi betragter som nødvendige for at vurdere, om de udførte kontroller og overholdelsen heraf er tilstrækkelige til at give høj, men ikke absolut sikkerhed for, at de specificerede kontrolmål blev opnået i løbet af perioden fra 1. maj 2018 til 30. april Vores test af kontrollernes funktionalitet var udformet til at dække et repræsentativt antal af transaktioner i løbet af perioden fra 1. maj 2018 til 30. april 2019 for hver kontrol, jf. nedenfor, som er udformet til at opnå de specifikke kontrolmål. Ved udvælgelsen af specifikke test har vi overvejet (a) karakteren af de testede områder, (b) typerne af tilgængelig dokumentation, (c) karakteren af de revisionsmål, der skal opnås, (d) det vurderede kontrolrisikoniveau og (e) testens forventede effektivitet. 12

15 4.4 Kontrolmål, kontroller og resultater af test Sikkerhedspolitik Kontrolaktivitet Etableret kontrol hos C2IT Testplan Testresultat Kontrolmål: At give retningslinjer for at understøtte informationssikkerheden i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter It-sikkerhedspolitik Der er udarbejdet en it-sikkerhedspolitik med tilhørende bilag. Politikken er godkendt af ledelsen og bliver løbende opdateret, såfremt der er behov for dette. Deloitte har gennemgået seneste ajourførte it-sikkerhedspolitik og kontrolleret, om politikken er godkendt It-risikoanalyse Der er udarbejdet en samlet risikovurdering for C2IT s forretning, og denne opdateres løbende, såfremt der er behov for dette. Analysen tager udgangspunkt i fokusområderne i sikkerhedspolitikken og er godkendt af ledelsen. Deloitte har gennemgået seneste ajourførte it-risikoanalyse samt påset, at denne er opdateret og godkendt af ledelsen. 13

16 4.4.2 Styring af kommunikation og drift - Backup Kontrolaktivitet Etableret kontrol hos C2IT Testplan Testresultat Kontrolmål: At beskytte mod tab af data Backupstrategi Der er udarbejdet backupbeskrivelser for hele det hostede miljø. Der laves formel afstemning af datagrundlag for backup med alle kunder forud for implementering. Deloitte har gennemgået backupbeskrivelsen og vurderet, om den i tilstrækkelig grad afdækker den etablerede procedure for backup, samt taget stikprøver på etablering af kundebackup Backupkonfiguration Ændringer til backupkonfigurationen sker i samarbejde med kunden, og der skal for alle ændringer udarbejdes et supplerende installationsdokument. Deloitte har stikprøvevis påset, at udvalgt backupkonfiguration stemmer overens med det udarbejdede installationsdokument Backuptest For at sikre at der kan foretages gendannelse af data, udføres der med fastsatte mellemrum restore-test. Disse test består altid af en fuld genskabelse af et system for en udvalgt kunde. Resultatet af restore-testen dokumenteres. Deloitte har påset, at backup er udført som forventet, og at der for udvalgte kunder er udført en restore-test med henblik på at vurdere validitet og kvalitet af C2IT s backupløsning til kunder. 14

17 4.4.3 Styring af kommunikation og drift Netværks og kommunikationssoftware Kontrolaktivitet Etableret kontrol hos C2IT Testplan Testresultat Kontrolmål: At sikre beskyttelse af informationer i anvendte netværk Patch management Relevante firmware-opdateringer bliver løbende vurderet og implementeres efter behov. Dette sker i praksis ved løbende review. Deloitte har stikprøvevis gennemgået, at patching sker, og at dette bliver dokumenteret og godkendes efter de anførte retningslinjer Dokumentation Netværket dokumenteres via IP- og kundeoversigter. Alle de ændringer, der udføres til netværket, dokumenteres i en change log. Deloitte har inspiceret netværksdokumentationen og påset, at ændringer til netværkskonfigurationen dokumenteres i en change log Anvendelse af åbne netværk Der anvendes kun lukkede forbindelser til at tilgå C2IT s hostede miljøer og kundedomæner. Deloitte har gennemgået dokumentation for netværket og vurderet dette som værende passende. 15

18 4.4.4 Styring af kommunikation og drift - Systemsoftware Kontrolaktivitet Etableret kontrol hos C2IT Testplan Testresultat Kontrolmål: At sikre integriteten af driftssystemer Patch management Implementering af patches sker på faste, planlagte tidspunkter. Opdatering af Windows-servere sker via frigivelse fra WSUS. Alle opdateringer dokumenteres. Deloitte har stikprøvevis påset, at der løbende sker patching af servere. Vi har for én stikprøveudvalgt server konstateret, at denne ikke har været patchet i henhold til proceduren på grund af manglende genstart Timing Nye opdateringer installeres løbende, efterhånden som de frigives af leverandøren. Servere genstartes automatisk på faste tidspunkter. Der foretages dokumenteret opfølgning på alle opdateringer. Deloitte har stikprøvevis påset, at der i forbindelse med patching af systemsoftware er taget stilling til timing af implementeringen i produktion. Ref Dokumentation Der er etableret systemdokumentation for både interne servere og det hostede miljø. Oversigterne vedligeholdes løbende. Deloitte har vurderet, om dokumentationen for de anvendte systemer er betryggende. 16

19 4.4.5 Styring af kommunikation og drift Overvågning Kontrolaktivitet Etableret kontrol hos C2IT Testplan Testresultat Kontrolmål: At registrere hændelser og tilvejebringe bevis Overvågning Der er etableret automatisk overvågning af alle relevante servere og services, og der gives alarmer til driftspersonalet ved fejl. Deloitte har stikprøvevist gennemgået den opsatte overvågning og kontrolleret, at kritiske alarmer er blevet afhjulpet Incidenthåndtering Der er etableret en fast procedure for registrering af henvendelser fra kunder, og der udarbejdes dokumentation for løsning på alle incidents. Deloitte har gennemgået en stikprøve af registrerede incidents i perioden og kontrolleret, at henvendelser er besvaret og løst It-sikkerhedslogning Der er opsat default-logning af sikkerhedsmæssige hændelser på C2IT s infrastruktur samt brugernes adgang til kundesystemer. Der foretages ikke proaktiv gennemgang af logge, men rapporter kan genereres i tilfælde af fejl. Deloitte har inspiceret logkonfigurationen på udvalgte, kritiske systemer og stikprøvevist verificeret, at logge har været genereret i revisionsperioden. 17

20 4.4.6 Adgangskontrol Logisk sikring Kontrolaktivitet Etableret kontrol hos C2IT Testplan Testresultat Kontrolmål: At forhindre uautoriseret adgang til systemer og applikationer It-sikkerhedsorganisationen It-sikkerhedsmæssige roller og ansvarsområder er fordelt og beskrevet i sikkerhedspolitikken, og medarbejderne er bekendt med deres arbejdsopgaver og funktioner. Deloitte har ved interview gennemgået funktionerne i organisationen og stikprøvevist konstateret, at medarbejderne var bekendt med deres ansvar Anvendelse af passwords Autentificering af brugere sker via Windows AD og herfra yderligere adgangsstyring for at administrere den øvrige infrastruktur. Deloitte har gennemgået konfigurationen af passwordkonfigurationen på det interne domæne og verificeret, at denne er i overensstemmelse med det i proceduren anførte Ændring af standardpasswords Kendte standardpasswords skiftes altid efter behov. Den indbyggede administrator på det interne domæne er omdøbt, og der anvendes individuelle brugerprofiler på centralt netværksudstyr etc. Deloitte har gennemgået brugere på det interne domæne og drøftet anvendelsen af brugerprofiler på den yderligere infrastruktur. 18

21 4.4.7 Adgangskontrol - Brugeradministration Kontrolaktivitet Etableret kontrol hos C2IT Testplan Testresultat Kontrolmål: At sikre adgang for autoriserede brugere og forhindre uautoriseret adgang til systemer og tjenester Oprettelser og ændringer Brugere oprettes kun på baggrund af skriftlige henvendelser i ticket-system eller via og accept fra den tekniske direktør. Brugerne tildeles rettigheder i forhold til deres jobfunktion. Deloitte har gennemgået procedure for brugeradministration, gennemgået udvalgte brugere og vurderet, om der er et gyldigt grundlag for de tildelte adgange og rettigheder Udvidede rettigheder Alle brugeradgange til systemer administreres ud fra samme procedure, og adgange tildeles kun på baggrund af formel godkendelse fra den tekniske direktør. Kun et fåtal har administrativ adgang til det interne domæne. Der foretages regelmæssig gennemgang af brugere. Deloitte har gennemgået brugere med udvidede rettigheder på C2IT s centrale infrastruktur og verificeret, at brugerne er godkendt til de tildelte rettigheder og har et arbejdsbetinget behov for denne adgang Nedlæggelser Nedlæggelse af brugere sker på baggrund af skriftlig henvendelse fra medarbejderens nærmeste forestående. Al dokumentation arkiveres i ticket-system. Deloitte har gennemgået proceduren for brugeradministration og testet en stikprøve af brugernedlæggelser og kontrolleret, at brugerprofiler tilhørende fratrådte medarbejdere var lukket Periodisk review af rettigheder Der udføres regelmæssigt review af alle brugere på C2IT s systemer, og rettigheder tilrettes herefter. Brugergennemgange dokumenteres og godkendes af ledelsen. Deloitte har drøftet proceduren for regelmæssig brugergennemgang med C2IT og gennemgået dokumentation for senest udførte gennemgang Anvendelse af brugerprofiler Brugere er oprettet i Windows AD, og alle anvender individuelle brugerprofiler. I de tilfælde, hvor der anvendes fællesbrugere, er der opsat logning, der muliggør unik sporing af hændelser til den enkelte bruger. Deloitte har gennemgået anvendelsen af brugerprofiler på det interne domæne og verificeret, at disse er personlige og identificerbare. 19

22 4.4.8 Business Continuity Management Kontrolaktivitet Etableret kontrol hos C2IT Testplan Testresultat Kontrolmål: Der er etableret procedurer for videreførelse af driften i en nødsituation Retningslinjer Der er etableret retningslinjer for etablering af nøddrift samt reetablering af den normale drift. Endvidere er der lavet aftaler med leverandører om support på væsentligt udstyr. Deloitte har gennemgået C2IT s etablerede foranstaltninger for videreførelse af driften Test Beredskabet testes løbende og minimum hvert andet år ved simuleret skrivebordstest. Dette er senest udført i Deloitte har gennemgået dokumentation for seneste skrivebordstest af beredskabsplanen. 20

23 5 Supplerende information fra C2IT A/S Nærværende afsnit er udarbejdet af C2IT for at give kunderne supplerende information. Afsnittet er ikke at betragte som en del af systembeskrivelsen. Oplysningerne i afsnit 5 er ikke omfattet af handlinger, som udføres af Deloitte for at vurdere, hvorvidt systembeskrivelsen er retvisende. Desuden er oplysningerne i afsnit 5 ikke indeholdt i vurderingen af, hvorvidt kontrollerne i afsnit 4 understøtter de angivne kontrolmål og har været passende udformet og implementeret i perioden. Således omfatter Deloittes konklusion ikke oplysningerne i afsnit 5. Kontrolaktivitet C2IT har noteret sig observationen under punkt og har siden indført en automatiseret kontrol, som fremover hurtigt kan afsløre servere, der er aktive i driftsmiljøet, men som ikke har meldt ind til patch-systemet. MIBA/tnan T:\Afd1180\C2IT\2019\ISAE 3402 Type 2 END docx 21