pwc EG Data Inform A/S

Størrelse: px
Starte visningen fra side:

Download "pwc EG Data Inform A/S"

Transkript

1 i EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG Data Informs driftsydelser Januar 2015 pwc PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, CVR-nr Jens Chr. Skous Vejl, Boo Aarhus C T: , F: 8932 oolo,

2 I Indhold 1. Ledelsens erklæring 3 2. EG Data Informs beskrivelse af generelle it-kontroller for driftsydelser i Danmark 4 3. Revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet 9 4. Kontrolmål, kontrolaktivitet, test og resultat heraf 11 2

3 El EG Adding value to business Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt EG Data Informs' driftsydelser, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. EG data Inform bekræfter, at: (a) Den medfølgende beskrivelse, afsnit 2, giver en retvisende beskrivelse af EG Data Informs driftsydelser, i hele perioden fra 1. januar 2014 til 31. december Kriterierne for dette udsagn var, at den medfølgende beskrivelse: (i) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant relevante kontrolmål og kontroller udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner (ii) (iii) indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra 1. januar 2014 til 31. december 2014 ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse vigtigt efter deres særlige forhold (b) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. januar 2014 til 31. december Kriterierne for dette udsagn var, at: (i) (ii) (iii) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. januar 2014 til 31. december Ballerup, den 31. december 2014 EG Data Inform Leif V stergaard Adm. direktør, Koncernen

4 Ell ING Adding valm to business 2. EG Data Informs beskrivelse af generelle it-kontroller for driftsydelser i Danmark Indledning EG Data Inform A/S (EGDI) er en division i EG A/S, som er ejet af Axcel. Denne systembeskrivelse vedrører de generelle it-kontroller i tilknytning til standard it-drift og hosting-aktiviteter i EG Cloud & Hosting, EG Bolig, EG Advokat, EG MedWin og EG Brandsoft, som det også fremgår af organisationsdiagrammet. Disse enheder er en del af det juridiske selskab EG Data Inform A/S. EGDI varetager drift og monitorering i forbindelse med it-drift og hosting-aktiviteter og er i forbindelse hermed ansvarlig for at sikre implementeringen og funktionen af kontrolsystemer med henblik på at forebygge og opdage fejl, herunder bevidste fejl, med henblik på overholdelse af kontrakter og god skik. Denne beskrivelse er afgrænset til generelle standarder for administration, som beskrevet i EGDI's standardkontrakt. Specifikke forhold der er relateret til individuelle kundekontrakter er ikke omfattet. Med baggrund i den ovenstående afgrænsning og nedenfor nærmere angivne systembeskrivelse vurderer EGDI, at vi i alle væsentlige forhold har opretholdt effektive kontroller. EGDI er dog fortsat opmærksom på, at der fortsat eksisterer enkelte områder, hvor kontrollerne bør forbedres. Beskrivelse af ydelser, der er omfattet af erklæringen De ydelser, som EGDI, er tilpasset flere forskellige typer af kunder. Betingelserne for de enkelte kunder er angivet i kontrakter, hvor der for hvert forretningsområde tages udgangspunkt i standardkontrakter, som kan indeholde individuelle tilretninger og optioner. Til specifikke kunder er disse betingelser angivet i driftshåndbøger, som er udleveret til kunden og fungerer som systemdokumentation. Følgende områder dækker over de ydelser, som EGDI tilbyder: Housing: Omfatter kunder, som udelukkende får stillet den fysiske EGDI-infrastruktur til rådighed, og som selv kontrollerer systemsoftware og applikationssoftware. EGDI har ansvar for den fysiske sikkerhed. Hostede kunder: Omfatter kunder, hvis systemer er hostet på dedikerede fysiske eller virtuelle servere. EGDI har ansvar for den fysiske sikkerhed samt backup. EGDI har ansvar for vedligeholdelse af systemsoftware, mens tredjepart har ansvaret for applikationssoftware. SaaS-kunder: Omfatter kunder, som er hostet på delte miljøer. EGDI har ansvar for den fysiske sikkerhed samt backup. EGDI har ligeledes ansvar for vedligeholdelse af systemsoftware, mens tredjepart har ansvaret for applikationssoftware. IBM iseries: Omfatter kunder, som er hostet på et delte Power-maskiner. Der er tale om EG-kunder, som benytter branchesystemer. Disse branchesystemer er udviklet i EG. EGDI har ansvar for den fysiske sikkerhed samt backup. Kontrolmiljø Ledelsesstruktur EGDI's organisationsform og ledelse bygger på en funktionsopdelt struktur, hvor lederen for den enkelte afdeling har personaleansvar. Sikkerhedsansvaret i de enkelte processer er tildelt henholdsvis ansvarlige og udførende. Den ansvarlige har ansvar for driften og dokumentationen af de enkelte processer hos de ansatte. Kommunikationsvejen mellem it-sikkerhedsudvalget og lederne af de enkelte afdelinger er således kort og sikrer sammenhæng mellem politik og drift/dokumentation. 4

5 EG Adding valmet business Organisationsdiagram EG Data Inform Adm. Direktør, Koncernen Leif Vestergaard Direktør Technolow & Delivery Henrik R. Møller Direktør Professionel Services Jesper Andersen EG Cloud & Hosting, Søren Bak EG Bolig/EG Advokat Kim Ø. Christensen EG MedWin Arne Birk Johansn EG Brandsoft Jesper Andersen Organisering af it-sikkerhed For at sikre sammenhæng mellem arbejdet med it-sikkerhed og organisationen er der oprettet et itsikkerhedsudvalg. It-sikkerhedsudvalget er repræsenteret af medarbejdere fra den øverste ledelse, mellemledere samt driftsmedarbejdere. It-sikkerhedsudvalget refererer direkte til direktionen i EGDI. Udvalget er normgivende og fastsætter på grundlag af den vedtagne it-sikkerhedspolitik de principper og retningslinjer, der skal sikre målopfyldelsen. Udvalget behandler alle it-sikkerhedsspørgsmål af principiel karakter. Udvalget foretager en årlig vurdering af it-sikkerhedspolitikken og de tilknyttede retningslinjer herunder at disse lever op til de eksterne forpligtelser, udtrykt i lovgivning og kontrakter/aftaler. Udvalget vurderer samtidig, om der er behov for fornyet risikovurdering. Sikkerhedshændelser rapporteres til medlemmer af it sikkerhedsrådet, hvor disse behandles. Det overordnede ansvar for it-sikkerheden i EGDI ligger hos direktøren. It-chefen er ansvarlig for den daglige ledelse og er ligeledes medlem af it-sikkerhedsudvalget. Økonomichefen er ansvarlig for HR-funktionen. Driftschefen er ansvarlig for den operationelle drift i henhold til de udarbejdede retningslinjer. Chefen for Service & Support er ansvarlig for håndteringen af hændelser. Det er medarbejdernes daglige leder, der er ansvarlig for at kommunikere retningslinjerne, der understøtter it-sikkerhedspolitikken, ud til den enkelte ansatte. Når it-sikkerhedspolitikken, it-sikkerhedshåndbogen og beredskabsplanerne opdateres, kommunikeres dette til medarbejdere, hvorigennem medarbejderne derefter kan orientere sig. Hvis medarbejdere bliver opmærksomme på fejl og mangler, sker tilbagemelding til it-sikkerhedskoordinatoren, der sørger for relevante rettelser. HR/Uddannelse HR-funktionen varetages både centralt af regnskabschefen samt de enkelte ledere for medarbejderne. De ansattes sikkerhedsansvar er fastlagt gennem en fyldestgørende stillingsbeskrivelse og i form af vilkår i ansættelseskontrakten. Enkelte medarbejdere er sikkerhedsgodkendte, der hvor kravet er aftalt med kunden. Medarbejderne modtager uddannelse, træning og oplysning om informationssikkerhed igennem afdelingsledere, således at niveauet er passende og relevant i forhold til medarbejderens arbejdsopgaver, ansvarsområde og evner. Ligeledes inkluderer dette aktuelle informationer om kendte trusler, samt om hvem der skal kontaktes for yderligere råd angående informationssikkerhed. 5

6 El EG Adding»lotto bosimas 1 Ved ansættelse underskriver medarbejderne en ansættelseskontrakt, der indeholder erklæring om at overholde it-sikkerhedspolitikken. Den enkelte medarbejder har ansvar for at overholde it-sikkerhedspolitikken og de regler, der er relevante for den enkeltes arbejdsopgaver, samt at rapportere eventuelle brud på it-sikkerheden eller mistanke herom til it-sikkerhedsfunktionen. Ansvarsfordeling Governance-delen af it-sikkerheden håndteres igennem en organisatorisk opbygning, med den øverste ledelse som ansvarlig. Arbejdet varetages igennem it-sikkerhedsrådet, som har deltagelse fra den øverste ledelse, og af strategisk udvalgte medarbejdere. Medlemmer af it-sikkerhedsrådet deltager løbende i relevant efteruddannelse inden for it-sikkerhed. It-sikkerheden er effektueret igennem intern strategi, politikker, standarder, procedurer og guidelines. Risikostyring Proces for gennemførsel heraf og respons herpå Til at imødegå allerede identificerede risici er der etableret faste test af beredskabsplanen, med dertilhørende dokumentation. Testplanen er bygget op over test vedrørende den fysiske sikkerhed samt test af kunderelaterede systemer. It-chefen er øverste ansvarlig for, at der bliver udført risikoanalyser, og driftschefen er ansvarlig for udførelsen. Den samlede beredskabsplan bliver opdateret en gang årligt, i starten af året. Driftschefen er ansvarlig for, at de risikoanalyser, der kræver ændringer i beredskabsplanen, bliver foretaget. Information og kommunikation EGDI arbejder efter principperne i ITIL (IT Infrastructure Library). ITIL er en samling af best practices, som bygger på erfaringer fra private og offentlige virksomheder. ITIL definerer en række it-processer inden for it service management, og ITIL har en procesorienteret vinkel på it-organisationen. Mange supportsystemer arbejder målrettet på at etablere digitale work-flow, som understøtter ITIL-processer. Til dette formål arbejder EGDI med et selvudviklet supportsystem, som understøtter dette work-flow. Supportsystemet udvikles kontinuerligt med dertilhørende fora for undervisning i nye funktionaliteter. Derudover er flere ledende medarbejdere samt driftsmedarbejdere certificeret i ML V3 Foundation. Incident management i EGDI Er forankret i vores Servicedesk, hvor det er muligt at åbne kontakt igennem den tilhørende kundeportal, mail eller via vores callcenter. I Servicedesk bliver alle incidents registreret og prioriteret i henhold til de gældende retningslinjer. Det er ligeledes muligt at eskalere incidents videre til relevante personer eller afdelinger, hvis medarbejderne i servicedesken ikke kan løse den pågældende incident. Afrapportering til kunder sker kun der, hvor dette er inkluderet i aftalen med kunden. Omfanget vil være nærmere beskrevet i kundens driftshåndbog. Monitorering Effektiv monitorering af processer giver vigtige oplysninger til både proaktiv t og reaktivt at kunne undgå events, der ellers vil have påvirket overholdelsen af kundernes SLA. Målet er at minimere den tid, det tager at genetablere normal drift. For at imødegå dette arbejder EGDI med forebyggende monitorering og dertilhørende korrigerende handlinger. Ved denne metode sker der ingen eller minimal påvirkning af kundens SLA. Der hvor det ikke er muligt at forudse events, benyttes detekterende monitorering med dertilhørende korrigerende handlinger. Denne metode gør det muligt at reagere i henhold til kundernes SLA. Proaktiv og reaktiv monitorering EGDI anvender event management-værktøj til at varetage automatisk monitorering af servere, systemsoftware og applikationssoftware. Monitoreringen dækker typisk Ram, diskplads, CPU-forbrug eller om specifikke applikationer er kørende. Monitorering og advisering er sat op efter gældende aftale med kunden og dokumenteret i driftshåndbogen. 6

7 EG *Ming valm to businass EGDI anvender et security information- og event management-system, der giver mulighed for logning. Værktøjet giver mulighed for at få et sikkert og centraliseret log-arkiv, der automatisk analyserer log-meddelelserne i realtid. Log-konsolidering og sikker opbevaring af dokumentation via en enkelt konsol gør det muligt at få adgang til og administrere alle oplysninger. Arkivet vil sikre, at der ikke mistes nogen log-meddelelser på grund af et systemnedbrud eller et hackerangreb. Værktøjet kan automatisk detektere og alarmere, når en kritisk hændelse opstår. En event (hændelse) kunne være et løbende angreb, et kompromitteret system, et systemnedbrud eller brugergodkendelse. Værktøjet kan opnå et overblik over netværk. Værktøjet indeholder prædefinerede skabeloner til de mest almindelige compliance- og sikkerhedsrapporter. LogInspect indeholder standardskabeloner til f.eks. rapportering om compliance som PCI, SOX, ISO 27001, HiPAA mv. og er en del af værktøjets standardversion. Skabelonerne kan også tilpasses efter behov eller bruges til at oprette en brugerdefineret rapport. For systemer der ikke kan monitoreres automatisk, er der er etableret fastlagte manuelle driftsrutiner og backuprutiner. Ved fejl eskaleres disse til den ansvarlige. Kontrolaktiviteter Drift af datacentre og netværk Tilgængeligheden af systemer og data sikres gennem en fortsat drift i tilfælde af mulige forstyrrelser. Dette sikres bl.a. gennem kontroller, der er forebyggende, detektive og korrigerende. Kontrollerne ligger inden for fysiske kontroller, procedurekontroller, tekniske kontroller og lovmæssigt styrede kontroller. Disse kontroller dækker bl.a. over følgende: autentifikation, antivirus, firewall, incident management, låse, brandalarmer, driftscenteret (er skalsikret med panserglas), UPS, nødstrømsanlæg, Inergen-brandslukning, monitorering, backup og beredskabsplaner. Der er indarbejdet adgangsstyring for håndtering og godkendelse af såvel interne som kunders bruger-id'er. Der er fastlagte passwordpolitikker for autentifikation og to-faktor autentifikation, som er udmøntet i standarder. Leverandøren foretager patchning af såvel operativ system (Windows) som underliggende services så som MS SQL/Exchange. Fuldt patchede systemer gælder også der, hvor det specifikt er angivet i kontrakter og driftshåndbøger. Kundens data sikres ved, at struktureringen af netværket opbygget af VLANs, således at de enkelte kunder kun kan tilgå deres eget netværk. Programændring Der er udarbejdet formelle forretningsgange for ændringsstyring. Formålet med dette er, at risikoen for kompromittering af virksomhedens og kundernes informationer minimeres. Introduktionen af nye systemer og større ændringer til de eksisterende systemer følger en formel proces med dokumentation, specifikation og styret implementering. Retningslinjerne for programændring gælder særligt for de SaaS-kunder, som benytter EGDI's egenudviklede applikationssystemer. Ændringsstyring i EGDI følger retningslinjer og procedurer for ændringsstyring. Adgangssikkerhed Fysisk Der er etableret en sikker fysisk afgrænsning, som sikrer beskyttelse af områder med informationsbehandlingsudstyr samt lagringsmedier. Der er etableret fysisk adgangskontrol, således at kun autoriserede personer kan opnå adgang. Adgangsrettighederne til sikre områder gennemgås og ajourføres i en kontrolliste. Hvis ansatte mister nøgler eller adgangskort, er der indarbejdet procedure for skift af nøgler og koder. I samarbejde med G4S, FireEater og DBI sikres det, at forhold vedrørende alarmsystemer og brandsikkerhed bliver kontrolleret, samt at krav om tiltag bliver overholdt. Logisk For at styre adgangen til virksomhedens systemer, informationer og netværk er der etableret adgangsregler- og rettigheder. Medarbejderadgang til virksomhedens systemer sker gennem brug af SMS Passcode eller token, hvormed der sikres to-faktor autentifikation. 7

8 Ell EG **ling vakm to business 1 Ved besøg af gæster, der skal have adgang til bygningen, skal disse være under konstant opsyn af værten. Der føres logning over, hvilke gæster der har været i bygningen samt i hvilket tidsrum. Komplementerende kontroller Forudsætninger vedrørende kundernes ansvar er beskrevet i individuelle kontrakter og driftshåndbøger. Kunden er ansvarlig for egne data. Det betyder, at kunden er ansvarlig for de ændringer, der måtte foretages i data, når der er logget på systemet med individuelle brugernavne og adgangskoder. Ved tredjeparts adgang bestilt af kunden er det kunden, som har ansvaret for opfølgning af kontrollen. Der er enkelte kunder, som ifølge deres kontrakt har mulighed for test af backup. Kunderne er selv ansvarlige for at initiere test af backupplan. Detaljerne fremgår af kontrolmål og kontrolaktiviteter ifølge skema med oplistning og test heraf. 8

9 pwc 3. Revisors erklæring om beskrivelsen af kontroller, deres udformning og funktion alitet Til ledelsen i EG Data Inform A/S samt kunder af EG Data Inform A/S' it-drift og hosting-aktiviteter i perioden 1. januar 2014 til 31. december 2014 og disses revisorer. Omfang Vi har fået til opgave at afgive erklæring om EG Data Inform A/S' beskrivelse, afsnit 2, af EG Data Inform A/S' driftsydelser og om udformningen og funktionen af generelle it-kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen for perioden 1. januar 2014 til 31. december EG Data Inform A/S' ansvar EG Data Inform A/S er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Vores ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om EG Data Inform A/S' beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet. Det er vores og EG Data Inform A/S' opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør EG Data Inform A/S' beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og disses revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtigt efter dennes særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte.

10 pilc Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet. Det er vores opfattelse: (a) (b) (c) at beskrivelsen af EG Data Inform A/S' driftsydelser, således som den var udformet og implementeret i hele perioden fra 1. januar 2014 til 31. december 2014, i alle væsentlige henseender er retvisende at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar 2014 til 31. december 2014 at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden fra 1. januar 2014 til 31. december Beskrivelse af test af kontroller De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse tests fremgår af afsnit 4. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller i afsnit 4 er udelukkende tiltænkt kunder, der har anvendt EG Data Inform A/S' driftsydelser og disses revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. Aarhus, den 23. januar 2015 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Parsberg Madsen statsautoriseret revisor 10

11 4. Kontrolmål, kontrolaktivitet, test og resultat heraf Kontrolmål: Informationssikkerhedspolitik Ledelsen har udarbejdet en informationssikkerhedspolitik, som udstikker en klar målsætning for it-sikkerhed, herunder valg af referenceramme samt tildeling af ressourcer. Informationssikkerhedspolitikken vedligeholdes under hensyntagen til en aktuel risikovurdering. Kontrolmål/Kontrol _ ÅL PwC-test -11 Resultat af test Kontrolmål A.i: Informationssikkerhedspolitik Skriftlig politik for informationssikkerhed Sikkerhedspolitikken er dokumenteret og vedligeholdes ved gennemgang mindst en gang årligt. Sikkerhedspolitikken er godkendt af ledelsen. Sikkerhedspolitikken er gjort tilgængelig for medarbejdere via den fælles dokumentation. der udføres. Vi har påset, at ledelsen har godkendt sikkerhedspolitikken, samt at den som minimum revurderes en gang årligt. Endvidere har vi påset, at den forefindes let tilgængelig for medarbejderne. 11

12 Kontrolmål: Organisering af informationssikkerhed Det organisatoriske ansvar for informationssikkerhed er passende dokumenteret og implementeret, lige som håndtering af eksterne parter sikrer en tilstrækkelig behandling af sikkerhed i aftaler. Kontrolmål/Kont ' wc- t - Resultat af test Kontrolmål B.1: Organisering af informationssikkerhed Ledelsens forpligtelse i forbindelse med informationssikkerhed Det organisatoriske ansvar for informationssikkerhed er dokumenteret og implementeret. Endvidere er der fastlagt regler for fortrolighedsaftaler og rapportering om informationssikkerhedshændelser samt udarbejdet en fortegnelse over aktiver, Eksterne parter Identifikation af risici i relation til eksterne parter, herunder håndtering af sikkerhed i aftaler med tredjemand og sikkerhedsforhold i relation til kunder. Ved ændringer, der påvirker driftsmiljøet, og hvor der anvendes services fra ekstern tredjepart, bliver disse udvalgt af driftschefen og godkendt af it-chefen. Der benyttes udelukkende anerkendte leverandører. Vi har overordnet drøftet styring af informationssikkerhed med ledelsen, Vi har påset, at det organisatoriske ansvar for informationssikkerhed er dokumenteret og implementeret. Endvidere har vi foretaget inspektion af, at fortrolighedsaftaler, rapportering om informationssikkerhedshændelser samt fortegnelse over aktiver er udarbejdet. der udføres. Vi har påset, at der er etableret betryggende procedurer for samarbejde med eksterne leverandører. Vi har desuden stikprøvevis kontrolleret, at samarbejdet med eksterne parter er baseret på godkendte kontrakter. 12

13 Kontrolmål: Fysisk sikkerhed Driftsafviklingen foregår fra lokaler, som er beskyttet mod skader, forårsaget affysiske forhold som f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål C.1: Fysisk sikkerhed Fysisk sikkerhedsafgrænsning Adgang til sikrede områder (for såvel nye som eksisterende medarbejdere) er begrænset (f.eks. ved anvendelse af adgangskort) til autoriserede medarbejdere og forudsætter dokumenteret ledelsesmæssig godkendelse. Personer uden godkendelse til sikrede områder skal registreres og ledsages af medarbejder med behørig godkendelse. Sikring af kontorer, lokaler og faciliteter Der er etableret adgangskontrolsystem til alle serverrum, som sikrer, at alene ledelsesgodkendte medarbejdere har adgang. Der foretages gennemgang af eksisterende adgangsrettigheder en gang årligt samt ved ændringer, Placering og beskyttelse af udstyr Datacentre er beskyttet mod fysiske forhold som brand, vand og varme. Serverrum er yderligere sikret med panserglas. Sikkerheden bliver jævnligt testet i samarbejde med serviceleverandører som G4S, FireEater og DBI. der udføres. Vi har observeret under besøg i datacentre, at adgang til sikre områder er begrænset ved anvendelse af afgangssystem. Vi har ved stikprøvevis inspektion gennemgået procedurer for fysisk sikkerhed vedrørende sikrede områder for at vurdere, om adgang til disse områder forudsætter dokumenteret ledelsesmæssig godkendelse, samt om personer uden godkendelse til sikrede områder skal registreres og ledsages af medarbejder med behørig godkendelse. Vi har ligeledes ved stikprøvevis inspektion gennemgået medarbejdere med adgang til sikre områder og påset, at relevant dokumenteret ledelsesmæssig godkendelse foreligger. Vi har forespurgt ledelsen om anvendte procedurer. Vi har gennemført inspektion af alle serverrum og påset, at alle adgangsveje er sikret med kortlæser. Vi har foretaget stikprøvevis kontrol af, at halvårlig gennemgang foretages. der udføres. Vi har ved inspektion gennemgået driftsfaciliteterne og har påset, at brandbekæmpelsessystemer, monitorering af indeklima og køling i datacentre er til stede. Vi har ved stikprøvevis inspektion gennemgået dokumentation for vedligeholdelse af udstyr, til bekræftelse af at dette løbende vedligeholdes. 13

14 Kontrolmål: Fysisk sikkerhed Driftsafviklingen foregår fra lokaler, som er beskyttet mod skader, forårsaget affysiske forhold som f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål C.i: Fysisk sikkerhed Understøttende forsyninger (forsyningssikkerhed) Datacentre er beskyttet mod strømafbrydelse ved anvendelse af UPS (uninterruptible power supply) og nødstrømsanlæg. Disse anlæg bliver testet jævnligt efter testplan. Anlægget bliver også testet jævnligt i samarbejde med serviceleverandøren Atek. Sikring af kabler Alle netværkskabler er placeret i serverrum. der udføres, Vi har observeret under besøg i datacentre, at der foretages monitorering af UPS eller nødstrømsanlæg. Vi har ved stikprøvevis inspektion gennemgået dokumentation for vedligeholdelse, til bekræftelse af at UPS eller nødstrømsanlæg løbende vedligeholdes og testes. Vi har observeret ved inspektion, at kabler til elektricitetsforsyning og datakommunikation er sikret mod skader og uautoriserede indgreb. 14

15 Kontrolmål: Styring af kommunikation og drift Der er etableret: passende forretningsgange og kontroller vedrørende drift, herunder monitorering, registrering og opfølgning på relevante hændelser tilstrækkelige procedurer for sikkerhedskopiering og beredskabsplaner passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner passende forretningsgange og kontroller vedrørende datakommunikationen, der på en hensigtsmæssig måde sikrer mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. "MinelF Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål D.1: Styring af kommunikation og drift Dokumenterede driftsprocedurer Ledelsen har implementeret driftsrutiner med dertilhørende proces for udførelse og opfølgning af driftschefen. Funktionsadskillelse Ledelsen har implementeret politikker og procedurer til sikring af tilfredsstillende funktionsadskillelse i it-afdelingen. Disse politikker og procedurer omfatter krav til, at ansvar for udvikling og opdateringer til produktionsmiljøet er adskilte at it-afdelingen har ikke adgang til applikationer og transaktioner at udviklings- og driftsaktiviteter er adskilt. Funktionsadskillelse er det bærende kontrolprincip, såvel på person- som på organisationsniveau. Hvor funktionsadskillelse ikke er praktisk eller økonomisk hensigtsmæssig, skal det være muligt for medarbejdere at bryde med dette princip. Det gælder bl.a. udviklere, som har ret til at foretage ændringer direkte i driftsmiljøerne, hvis det er nødvendigt. Der gælder altså visse steder et forbehold for funktionsadskillelse. Ved kritiske systemer er der dog funktionsadskillelse. Foranstaltninger mod virus og lignende skadelig kode Der er etableret antivirusprogrammer, som bliver opdateret regelmæssigt. Vi har forespurgt ledelsen om, hvorvidt alle relevante driftsprocedurer er dokumenteret. I forbindelse med revision af de enkelte driftsområder er det ved inspektion kontrolleret, at der foreligger dokumenterede procedurer, samt at der er overensstemmelse mellem dokumentationen og de handlinger, som faktisk udføres. Vi har endvidere påset ved inspektion, at der foretages tilstrækkelig overvågning og opfølgning herpå. der udføres, Vi har gennemgået brugere med administrative rettigheder til verificering af, at adgange er begrundet i et arbejdsbetinget behov og ikke kompromitterer funktionsadskillelse mellem udviklingsog produktionsmiljøer. der udføres. Vi har ved stikprøvevis inspektion gennemgået teknisk opsætning til bekræftelse af, at der er installeret antivirusprogrammer, samt at disse er opdateret. 15

16 Kontrolmål: Styring af kommunikation og drift Der er etableret: passende forretningsgange og kontroller vedrørende drift, herunder monitorering, registrering og opfølgning på relevante hændelser tilstrækkelige procedurer for sikkerhedskopiering og beredskabsplaner passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner passende forretningsgange og kontroller vedrørende datakommunikationen, der på en hensigtsmæssig måde sikrer mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. Kontrolmål/Kontrol PwC-test _ Kontrolmål D.1: Styring af kommunikation og drift Resultat af test Sikkerhedskopiering af informationer IBM's Tivoli Storage Manager (TSM) benyttes til backup af kunders data. Der modtages daglige rapporter fra TSM systemet vedrørende, om backup er fuldført med succes. Hvis dette ikke er tilfældet, eskaleres dette til den ansvarlige. Der bliver foretaget sikkerhedskopiering af data med passende mellemrum. Periodisk sker der test af, at data kan genskabes fra sikkerhedskopier. Monitorering af systemanvendelse og auditlogning Der er implementeret logning ved adgang på kritiske systemer. Disse logge bliver gennemgået i tilfælde af mistanke om misbrug eller fejl. Administrator- og operatørlog Særlig risikofyldte operativsystemer og netværkstransaktioner eller aktivitet samt brugere med privilegerede rettigheder bliver monitoreret. Afvigende forhold undersøges og løses rettidigt. der udføres, gennemgået backupprocedurer samt påset, at de er tilstrækkelige og formelt dokumenteret. Vi har ved stikprøvevis inspektion gennemgået log vedrørende backup, for bekræftelse af at backups er gennemført fejlfrit, alternativt at der foretages afhjælpning i tilfælde af mislykkede backups. Vi har ved stikprøvevis inspektion gennemgået restore-log. Vi har gennemgået proceduren for ekstern opbevaring af backupbånd, til bekræftelse af at backups opbevares på betryggende vis. der udføres, gennemgået systemopsætningen på servere og væsentlige netværksenheder samt påset, at parametre for logning er opsat, således at handlinger, udført af brugere med udvidede rettigheder, bliver logget. Vi har endvidere ved stikprøvevis inspektion kontrolleret, at der foretages tilstrækkelig opfølgning på logs fra kritiske systemer. 16

17 Kontrolmål: Adgangsstyring Der er etableret: passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af adgangsrettigheder til systemer og data logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Kontrolmål/Kontrol Resultat af test Brugerregistrering og administration af privilegier Alle adgange for nye og eksisterende brugere vedrørende operativsystemer, netværk, databaser og datafiler bliver gennemgået for at sikre overensstemmelse med virksomhedens politikker. Endvidere sikring af, at rettigheder er tildelt ud fra arbejdsbetinget behov, er godkendt og oprettet korrekt i systemer. Afdelingsleder godkender brugerrettigheder, og oprettelsen udføres af tekniker. Administration af brugeradgangskoder (password) Adgange til operativsystemer, netværk, databaser og datafilerer beskyttet med password. Der er opsat kvalitetskrav til password, således at der kræves en minimumslængde, kompleksitet og maksimal løbetid, ligesom passwordopsætninger medfører, at password ikke kan genbruges. Endvidere bliver brugeren lukket ude ved gentagne fejlforsøg på login. Evaluering af brugeradgangsrettigheder Ledelsen foretager periodisk gennemgang af brugerrettigheder, til sikring af, at disse er i overensstemmelse med brugernes arbejdsbetingede behov. Uoverensstemmelser undersøges og rettes rettidigt. Ansvaret for dette ligger hos itsikkerhedsudvalget. Kontrolmål E.1: Adgangsst-:%-ring der udføres. Vi har gennemgået procedurerne for brugeradministration samt kontrolleret, at kontrolaktiviteter er tilstrækkeligt dækkende. Vi har ved stikprøvevis inspektion kontrolleret, at oprettelse af brugere og tildeling af adgang er dokumenteret og godkendt i overensstemmelse med forretningsgangene. der udføres i forbindelse med passwordkontroller, og påset, at det sikres, at der anvendes passende autentifikation af brugere på alle adgangsveje. Vi har ved inspektion kontrolleret, at der anvendes en passende passwordkvalitet i EG Data Informs driftsmiljø ved stikprøvevise tests af, at adgang til virksomhedens systemer sker ved brug af brugernavn og password. der udføres. Vi har ved stikprøvevis inspektion kontrolleret, at der foretages periodiske gennemgange til bekræftelse af, at disse har fundet sted samt påset, at identificerede afvigelser afhjælpes. 17

18 Kontrolmål: Adgangsstyring Der er etableret: passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af adgangsrettigheder til systemer og data logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål Adgangsstyring Inddragelse af adgangsrettigheder Brugerrettigheder til operativsystemer, netværk, databaser og datafiler vedrørende fratrådte medarbejdere bliver inaktiveret rettidigt. der udføres, for at inddragelse af adgangsrettigheder sker efter betryggende forretningsgange, og at for der foretages opfølgning i henhold til forretningsgangene på de tildelte adgangsrettigheder. Vi har endvidere ved stikprøvevis inspektion kontrolleret, at de beskrevne forretningsgange er overholdt for nedlagte brugere på systemer, samt at inaktive brugerkonti deaktiveres ved fratrædelse. Politik for anvendelse af netværkstjenester, herunder autentifikation af brugere med ekstern forbindelse Datakommunikationen er tilrettelagt på en hensigtsmæssig måde og er tilstrækkeligt sikret mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. Der benyttes SMS passcode, token eller VPN, når medarbejdere skal tilgå systemer udefra. Der er endvidere foretaget en opdeling af netværk, hvor dette er fundet nødvendigt eller aftalt med kunden. Styring af netværksforbindelser Der udføres halvårlige penetrationstest med en sikkerhedsscanner. Der udføres test af udvalgte IP ranges, for at teste at regler i firewall er sat rigtigt op. der udføres, og påset, at der anvendes en passende autentificeringsproces for driftsmiljøet. Vi har ved stikprøvevis inspektion kontrolleret, at brugere identificeres og verificeres, inden adgang gives, samt at fjernadgangen er beskyttet af VPN. Vi har ved inspektion konstateret, at netværket er segmenteret i mindre net ved hjælp af VLANs og DMZs for at reducere risikoen for uautoriseret adgang. der udføres for at styre netværksforbindelser. Vi har ved inspektion konstateret, at der er foretaget periodiske penetrationstest samt kontrolleret, at der er taget stilling til konstaterede svagheder. Vi har ved stikprøvevis inspektion gennemgået firewallkonfiguration og påset, at reglerne i firewallen er sat hensigtsmæssigt op. 18

19 Kontrolmål: Adgangsstyring Der er etableret: passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af adgangsrettigheder til systemer og data logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Kontrolmål/Kontrol Begrænset adgang til informationer Kun personer med behov for adgang til kundespecifikke systemer har adgang. Alle adgangsønsker for nye og eksisterende brugere vedrørende applikationer, databaser og datafiler bliver gennemgået for at sikre overensstemmelse med virksomhedens politikker, til sikring af at rettigheder tildeles ud fra et arbejdsbetinget behov, er godkendt samt bliver korrekt oprettet i systemer. PwC-test.111~ Kontrolmål E.l.: Adgangsstyring der udføres for at begrænse adgangen til informationer. Vi har gennemgået procedurerne for brugeradministration samt kontrolleret, at kontrolaktiviteter er tilstrækkeligt dækkende. Vi har ved stikprøvevis stkprøvevs inspektion kontrolleret, at tildeling af adgang til data og systemer udføres ud fra et arbejdsrelateret behov og er godkendt i overensstemmelse med forretningsgangene. Resultat af test 19

20 Kontrolmål: Anskaffelse, udvikling og vedligeholdelse af styresystemer Der er etableret passende forretningsgange og kontroller for implementering og vedligeholdelse af styresystemer Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål F.1: Anskaffelse, udvikling og v edligeholdelse af styresystemer Styring af software på driftssystemer Der er etableret separate it-miljøer for udvikling, test og produktion. Kun funktionsadskilt personale kan migrere ændringer mellem de enkelte miljøer. Ændringer på interne miljøer testes i testmiljøer. Ved ændringer på kundespecifikke systemer bliver der udført test, der hvor dette er aftalt. Ændringsstyring Ændringer til operativsystemer og netværk bliver testet af kvalificeret personale inden flytning til produktion. Test af ændringer til operativsystemer og netværk godkendes før flytning til produktion. Ændringer i kundespecifikke systemer registreres i helpdesk-systemet som incidents. Dette inkluderer bl.a. information om dato, status og opfølgende kommentarer. Nødændringer af operativsystemer og netværk uden om den normale forretningsgang bliver testet og godkendt efterfølgende. der udføres, for at adskillelse mellem enkelte miljøer opretholdes. Vi har ved inspektion påset, at ændringerne testes i testmiljøet. Vi har ved stikprøvevis inspektion gennemgået ændringer i perioden, og har påset, at ændringer er dokumenteret. der udføres, og gennemgået change managementprocedurernes tilstrækkelighed samt påset, at der er etableret et passende ændringshåndteringssystem, der er understøttet af en teknisk infrastruktur. Vi har desuden konstateret, at en formel change management-procedure er blevet implementeret i en hele organisationen. Vi har ved stikprøvevis inspektion gennemgået ændringsønsker for følgende: Registrering af ændringsanmodninger i det dertil etablerede system. Dokumenteret test af ændringer, herunder godkendelse. Godkendelse skal være opnået før implementering. Mundtlig ledelsesmæssig godkendelse anses for tilstrækkelig ved nødændringer, men skal dokumenteres efterfølgende. Dokumenteret plan for tilbagerulning, hvor relevant. 20

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig r Rackhosting ApS Oktober 2014 ISAE 3402-erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til driften af kunders itmilj øer for perioden 1. juni 2013 til 31. maj 2014 med

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret Maj 2015 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 18. maj

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

Greve Kommune. Revision af generelle it-kontroller

Greve Kommune. Revision af generelle it-kontroller Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr. 4 1 37 14 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

TEKNISK DOKUMENTATION Teknisk kapacitet

TEKNISK DOKUMENTATION Teknisk kapacitet TEKNISK DOKUMENTATION Teknisk kapacitet Indholdsfortegnelse Datacenter... 3 Netværk og Internet... 3 Support... 3 Sikkerhedspolitik & Kvalitetssikring... 4 Sikkerhedspolitik... 4 Kvalitetssikring... 5

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Sotea ApS CVR nr.: DK 10085225

Sotea ApS CVR nr.: DK 10085225 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-08-2014 til 31-01-2015 Sotea ApS CVR nr.: DK 10085225

Læs mere

Revisionsprotokollat af 27. marts 2011

Revisionsprotokollat af 27. marts 2011 KPMG Statsautoriseret Revisionspartnerselskab AUDIT Borups Allé 177 Postboks 250 2000 Frederiksberg Telefon 38 18 30 00 Telefax 72 29 30 30 www.kpmg.dk Revisionsprotokollat af 27. marts 2011 til årsrapporten

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Navit sp/f. Del A Gennemførelse

Navit sp/f. Del A Gennemførelse Den Internationale Kode for Sikker Drift af Skibe og Forebyggelse af Forurening (International Safety Management-koden (ISM-koden)) Med rettelser gældende pr. 1. juli 2010 Del A Gennemførelse 1. Generelt

Læs mere

Wannafind. ISAE 3402 Type 2

Wannafind. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Wannafind ISAE 3402 Type 2

Læs mere

Danske Forsikringsfunktionærers Landsforening

Danske Forsikringsfunktionærers Landsforening Danske Forsikringsfunktionærers Landsforening CVR-nr. 55 09 94 13 Revisionsprotokollat af 21. februar 2014 (side 40-43) vedrørende årsregnskabet for 2013 Indholdsfortegnelse Side 1. Revision af årsregnskabet

Læs mere

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Miracle A/S. ISAE 3402 Type 2

Miracle A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle A/S ISAE 3402 Type

Læs mere

Miracle Hosting A/S. ISAE 3402 Type 2

Miracle Hosting A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle Hosting A/S ISAE 3402

Læs mere

Digital Signatur OCES en fælles offentlig certifikat-standard

Digital Signatur OCES en fælles offentlig certifikat-standard Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard

Læs mere

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og Dansk Industris vejledning om betalingskortsikkerhed ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant Modtagelseserklæring Modtagelseserklæring for AAU ITS Infrastruktur version 4. Anvendelse Modtagelseserklæringen skal anvendes i forbindelse med projekter drevet af PMO, AIU eller IFS. Projektlederen er

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

Dansk Træforening. Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008

Dansk Træforening. Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008 Dansk Træforening Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008 Kvæsthusgade 3 DK-1251 København K Tlf. (+45) 39 16 36 36 Fax (+45) 39 16 36 37 E-mail:copenhagen@n-c.dk Aalborg København

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Klestrup partners A/S. ISAE 3402 type 2-erklæring

Klestrup partners A/S. ISAE 3402 type 2-erklæring Klestrup partners A/S ISAE 3402 type 2-erklæring Generelle it-kontroller i tilknytning til drift af Windows-systemer for perioden 1. januar 2014-31. december 2014 Side 1 af 28 Indhold 1 Ledelsens udsagn...

Læs mere

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk DIAS 1 Infrastructure Optimization Greve Kommune Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk Agenda DIAS 2 _ Formål med IO _ Gennemgang af IO modellen _ IO analyse hos Greve Kommune _ Opsummering

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Det europæiske kvalitetsmærke tildeles en uddannelsesinstitution efter følgende kriterier.

Det europæiske kvalitetsmærke tildeles en uddannelsesinstitution efter følgende kriterier. 2 Beskrivelse af ansøgningsformularen Denne ansøgningsformular består af et firdelt spørgeskema og et afsnit med generelle oplysninger om uddannelsesinstitutionen. Hvert af de fire afsnit ser på effektiviteten

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter.

Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter. 1. Indledning og resume: Til bestyrelsen i Fælleskassen Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter. Formålet med denne rapportering er

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25814606

SYSTEMHOSTING A/S CVR nr.: 25814606 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2014 til 31-12-2014 SYSTEMHOSTING

Læs mere

Kommissorium for bestyrelsens revisionsudvalg.

Kommissorium for bestyrelsens revisionsudvalg. Kommissorium for bestyrelsens revisionsudvalg. Introduktion Introduktion Nærværende kommissorium kan anvendes som inspiration til udarbejdelse af kommissorier for revisionsudvalg etableret som selvstændige

Læs mere

Vejledning til revisionsbekendtgørelsens 1 4, stk. 2, og 13, stk. 2, om opsummering af bemærkninger i revisionsprotokollatet vedrørende årsregnskabet

Vejledning til revisionsbekendtgørelsens 1 4, stk. 2, og 13, stk. 2, om opsummering af bemærkninger i revisionsprotokollatet vedrørende årsregnskabet Finanstilsynets vejledning af 21. december 2001 Vejledning til revisionsbekendtgørelsens 1 4, stk. 2, og 13, stk. 2, om opsummering af bemærkninger i revisionsprotokollatet vedrørende årsregnskabet 1.

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Kravspecification IdP løsning

Kravspecification IdP løsning Kravspecification IdP løsning Resume IT-Forsyningen, som varetager IT-drift for Ballerup, Egedal og Furesø Kommuner, ønsker at anskaffe en IdP/Føderationsserverløsning, der kan understøtte en række forretningsmæssige

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Triolab lægger vægt på et tæt samarbejde med kunden, sådan at de tilbudte løsninger fungerer optimalt og tilpasses kundens behov.

Triolab lægger vægt på et tæt samarbejde med kunden, sådan at de tilbudte løsninger fungerer optimalt og tilpasses kundens behov. Side 1 af 8 Indledning Triolab er et firma, der forhandler kvalitetsløsninger til laboratorier i flere segmenter. Triolab er et firma, der forestår totalløsninger. Der tilbydes support på højt fagligt

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

Service Level Agreement Version 2.0 d. 1. april 2014

Service Level Agreement Version 2.0 d. 1. april 2014 Service Level Agreement Version 2.0 d. 1. april 2014 EDB-Eksperten.dk 1. Præambel... 3 1.1. Definitioner... 3 1.2. Produktomfang... 3 2. Driftsvindue og tider... 3 2.1. Driftsvindue... 3 2.2. Åbningstid...

Læs mere

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten . spe. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten Nedenstående er opdelt i to afsnit. Første afsnit indeholder bestemmelser, der forventes indarbejdet i Samarbejdsbilaget. Andet

Læs mere

A/S ScanNet. ISAE 3402 Type 2

A/S ScanNet. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk A/S ScanNet ISAE 3402 Type

Læs mere

Revisionsudvalg. Kommissorium. Skjern Bank

Revisionsudvalg. Kommissorium. Skjern Bank Revisionsudvalg Kommissorium i Skjern Bank 1 Indledning 1.1 Udvalgets arbejde, ansvar og kompetencer fastlægges i nærværende kommissorium. 1.2 Dette kommissorium gennemgås, ajourføres og godkendes årligt

Læs mere

"SAP" betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten.

SAP betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten. Serviceaftaleprogram for Ariba Cloud Services Garanti for Tjenestens tilgængelighed Sikkerhed Diverse 1. Garanti for Tjenestens tilgængelighed a. Anvendelighed. Garantien for tjenestens tilgængelighed

Læs mere

Sorø Internationale Musikfestival. Revisionsprotokollat til årsrapport 2010/11

Sorø Internationale Musikfestival. Revisionsprotokollat til årsrapport 2010/11 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Ndr. Ringgade 70A 4200 Slagelse Telefon 58 55 82 00 Telefax 58 55 82 01 www.deloitte.dk Sorø Internationale Musikfestival Revisionsprotokollat

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere