Vejledning til brug af Offentlig RA Revisionsinstruks

Transkript

1 Vejledning til brug af Offentlig RA Revisionsinstruks 1-7

2 Indholdsfortegnelse Indledning...3 Formål...3 Scope for RA-revisionen...3 Særlige forhold...3 Kontroller relateret til anvendelse af it-systemer...3 Offentlig RA s ansvar...3 Nets DanID s ansvar...4 Grundlag for RA Revisionsinstruksen...4 Omfanget af RA Revisionsarbejdet...4 Krav til intern revision og dens arbejde...4 Hvad er typisk omfattet af RA revisionen?...5 Hvornår kan Offentlig RA anvende eksisterende revisionserklæringer...5 Testhandling og efterprøvning...5 Eksempler på testhandlinger og efterprøvninger...6 Aflevering af revisionserklæring til Nets DanID...7 Hvis erklæring indeholder forbehold eller bemærkninger

3 Indledning Denne vejledning er til brug for Offentlig RA, såsom Borgerservices, konsulater, ambassader og Kriminalforsorgen, samt de interne og eksterne revisorer, der er involveret i afgivelse af revisionserklæringen vedrørende RA-opgaven jf. Offentlig RA Revisionsinstruksen. Formål Gennemførsel af revision af den offentlig RA myndigheds (fx. borgerservice) processer, procedurer og kontroller, har til formål at validere at Nets DanID s udstukne krav for RA-opgaven bliver fulgt, herunder de sikkerhedsmæssige krav og forhold omkring persondatabeskyttelse. Dette omfatter bl.a.: Efterlevelse af persondatalovgivning og GDPR RA-opgaven foretages ensartet, med høj kvalitet og i overensstemmelse med den indgåede RA aftale mellem Nets DanID og den offentlig RA, herunder: Korrekt legitimering og identifikationsprocedurer Bestilling og udlevering af nøglekort og engangskodeord Uddannelse og træning i brug af RA-portalen og RA-opgaven Opbevaring af nøglekort og adgangskodebreve Opbevaring af vitterlighedsvidneerklæringer og fuldmagter Sikkerhed omkring brugeradgange Fysisk og logisk sikkerhed omkring det udstyr der benyttes til RA-opgaven Scope for RA-revisionen RA-opgaven for de offentlige myndigheder dækker alene de aktiviteter, processer og it-systemer, der benyttes i forbindelse med legitimering, udstedelse, samt spærring af NemID nøglekort og midlertidig adgangskode forbundet med udstedte NemID nøglekort, hvor det offentlige benytter RA portalen. Særlige forhold RA-medarbejdere, som er ansat i Kriminalforsorgen, kan verificere Borgerens identitet ved at benytte Kriminalforsorgens identifikationsprocedure, der er fastsat i cirkulæreskrivelse nr af den 30. april 2015 om sikring af domfældtes identitet. Kontroller relateret til anvendelse af it-systemer I forbindelse med RA arbejdet anvender den offentlig RA it-systemer, der også er omfattet af RA Revisionsinstruksen. De it-systemer, der er er omfattet af RA Revisionsinstruksen kan opdeles i systemer, der er stillet til rådighed af Nets DanID, og de systemer der er Offentlig RA s eget ansvar. Offentlig RA s ansvar RA skal i RA Revisionsinstruksen udelukkende foretage revisionshandlinger i forhold til de it-systemer, hvor RA har ansvaret. 3-7

4 Nets DanID s ansvar RA-Portalen der anvendes til legitimering af ansøger og behandling af NemID udstedelse herunder den midlertidige adgangskode er Nets DanID s ansvar. RA skal derfor ikke foretage revisionshandlinger i forhold til den i RA-Portalen indbyggede sikkerhed eller Nets DanID s organisation og processer, der understøtter RA-Portalens drift og vedligeholdelse. Grundlag for RA Revisionsinstruksen Grundlaget for RA Revisionsinstruksen er de krav, der fremgår af: POCES certifikatpolitikken: RA-aftalen og Bilag til RA-aftalen for offentlige myndigheder Offentlig RA Revisionsinstruks Databehandleraftale med Kommunerne og dertil hørende bilag og allonger Omfanget af RA Revisionsarbejdet Såfremt revisionen foretages af en ekstern revisor skal resultatet af revisors arbejde rapporteres i form af en ISAE3000 type 2 erklæring. I de tilfælde hvor en kontrol ikke udføres eller, hvor revisionshandlingen ikke kan udføres som beskrevet i kolonnen Revisionshandling, skal revisor i kolonnen Resultat af revisionshandlinger begrunde, hvorfor revisionshandlingen ikke er udført. Såfremt der eksisterer andre kontroller eller kompenserende kontroller, skal dette anføres i kolonnen Resultat af revisionshandlinger. Krav til intern revision og dens arbejde For at Nets DanID og deres revisor kan basere sig på arbejde udført af intern revision hos den offentlige myndighed, er der en række krav, som interne revisionsfunktioner skal opfylde. Organisering Kompetencer Den interne revisionsfunktion og dens medarbejdere skal være organisatorisk og ledelsesmæssigt adskilt fra den/de funktion(-er), der er omfattet af revisionen. Ideelt set betyder det, at den interne revisionschef er ansat af (kommunal-)bestyrelsen, og den interne revisions budget godkendes af (kommunal-)bestyrelsen. For de kommuner, hvor kravet om uafhængighed ikke kan imødekommes fuldt ud som beskrevet ovenfor, bør den interne revisionschef som minimum ikke referere til den funktion, der er underlagt revisionen. Revisionschefen og dennes medarbejdere må således ikke kunne komme i en situation, hvor deres konklusioner på resultatet af det udførte arbejde bliver påvirket af andre herunder de(-n) funktion(- er), der er underlagt revision. Til dette hører også, at den interne revisionsfunktion ikke må være resultatlønnet. Den interne revisionsfunktions medarbejdere bør have kendskab til Certifikatpolitikken for Personlige OCES Certifikater, RA-aftalen og databehandleraftalens indhold og omfang. En væsentlig del af erklæringsarbejdet fordrer kendskab til it-sikkerhed på et relativt detaljeret niveau. Den interne revisionsfunktions medarbejdere bør derfor også have et dokumenteret kendskab til it-revision. Dette kan være i form af formel uddannelse evt. suppleret med relevante certificeringer som f. eks. CISA, CISSP. I tillæg hertil bør den udførende revisor også have erfaring med it og it-sikkerhed samt revisionsarbejde. Medlemskab af relevante fora som f. 4-7

5 eks. ISACA, ISC 2 eller IIA (Foreningen Interne Revisorer) kan være med til at understøtte kendskab til og viden om revision og it-sikkerhed. Kvalitetssikring Den interne revisionsfunktion skal følge et sæt af dokumenterede revisions procedurer og guidance. Der bør eksistere procedurer og dokumentation indenfor risikovurdering, arbejdsprogrammer herunder dokumentation af udført arbejde samt rapportering. Der stilles ikke krav om, at der skal anvendes et digitalt revisionsværktøj, men der skal være implementeret en procedure, der sikrer, at revisionsdokumentationen opbevares og er tilgængelig i løbende år + 5 år. Endvidere er det et krav, at der er etableret dokumenterede procedurer for kvalitetssikring, der følges på alle opgaver. Hvad er typisk omfattet af RA revisionen? De it-systemer, processer og lokationer normalt vil være omfattet af RA s revisionen vil typiske omfatte: De fysiske lokationer hvor RA-opgaven foretages Arbejdsstationer, der af RA der anvendes af RA-medarbejderes til at udføre RA-opgaven, såsom bærbare og stationære computere. Fysiske steder (aflåste skabe, arkiver, m.fl.) hvor der foretages fysisk opbevaring af nøglekort og evt. også vitterlighedsvidneerklæringer eller fuldmagter. ESDH systemer, hvis der foretages registrering, eller der i disse gemmes kopier af dokumentation forelagt i forbindelse med RA behandlinger, fx afslag på ansøgninger eller vitterlighedsvidneerklæringer eller fuldmagter. Interne systemer der registrerer godkendelser og indeholder oversigt over oprettelser, ændringer og nedlæggelser af RA brugere. Hvornår kan Offentlig RA anvende eksisterende revisionserklæringer Offentlig RA kan anvende eksisterende revisionsdokumentation, herunder ISAE3000/ISAE3402 type 2 eller en ISRS4400 aftalte arbejdshandlinger, såfremt at disse kan vise, at Offentlig RA har etableret effektive kontroller i hele erklæringsperioden, der relaterer sig til de relevante krav i RA Revisionsinstruksen. Testhandling og efterprøvning De udførte testhandlinger bør omfatte en blanding af nedenstående testhandlinger. Det skal bemærkes, at test alene ved forespørgsel ikke er tilstrækkelig til at give den fornødne grad af sikkerhed for revisors konklusion. Inspektion Gennemlæsning af procedurer/forretningsgange og/eller opsætning af systemer. Dette omfatter bl.a. stillingtagen til, om specifikke procedurer/forretningsgange er designet, så de kan forventes at blive effektive, hvis de implementeres. 5-7

6 På de tekniske platforme, databaser og netværkskomponenter kan det påses, at disse er opsat tilfredsstillende. For mange pengeinstitutter vil dette sandsynligvis allerede være bekræftet i de ISAE 3402-erklæringer, der modtages fra fælles datacentraler. Forespørgsler Observation Genudførelse af kontrollen Forespørgsel af passende personale. Forespørgsler omfatter, hvordan procedurer/forretningsgange er designet og implementeret. Observation af udførelse af procedurer/forretningsgange ved overvågning af faktisk udførelse. Er en af de handlinger, der er relevante, i relation til bekræftelse af at implementering har fundet sted. Gentagelse af den relevante procedure/forretningsgang og vurdering af, om resultatet er som forventet. Er en af de handlinger, der er relevante i relation til bekræftelse af at implementering har fundet sted. Eksempler på testhandlinger og efterprøvninger Nedestående er et eksempel på kontroller og dertilhørende vejledninger til revision af disse. Kontrol Vejledning Der er implementeret en procedure/forretningsgang hos Offentlig RA med henblik på at sikre, at Offentlig RA personale, som er autoriseret til at behandle persondata, er underlagt krav om fortrolighed. RA skal kontrollere, at ledere og medarbejdere, der udfører betroede opgaver i eller for CA, ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv. Inspicer proceduren/forretningsgangen vedrørende krav om overholdelse af Offentlig RA personales fortrolighed i forhold til behandling af persondata. Inspicer for et udvalg af Offentlig RA personale, at de har underskrevet en fortrolighedsaftale/erklæring vedrørende persondata. Kontrol af hvorvidt en medarbejder ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv med udstedelse af NemID foretages ved fremvisning af straffeattest. Nets DanID stiller ikke krav om, at straffeattesten opbevares. RA-personale skal gennemføre en uddannelse, som sætter dem i stand til at udføre deres arbejde korrekt og sikkert. Offentlig RA skal på anmodning fra Nets DanID fremlægge dokumentation for, hvilke konkrete procedurer og legitimationsbeviser der har ligget til grund for Offentlig RA s legitimering af bruger, jf. RA-aftalen. Offentlig RA har implementeret tekniske og organisatoriske sikringsforanstaltninger, med henblik på at forhindre at persondata: ved uheld eller skadeshensigt ødelægges, tabes eller ændres gøres tilgængelige uden godkendelse Nets DanID anbefaler, at RA-medarbejdere anvender de uddannelsesprogrammer, der stilles til rådighed af Nets DanID. Dokumentation for deltagelse i undervisning kan være afkrydsning ved deltagelse på kursus eller print af certifikat fra e-læringsprogrammer. Forespørg udvalgte RA medarbejder omkring kravene til verifikation af borgeres identitet, for at validere at de kender til legitimationskravene og de kan fremfinde dem på forespørgsel. Observer, at der er etableret en organisation, der understøtter, at kun godkendte medarbejdere kan få en adgangsbetinget adgang til systemer og data, der anvendes til udstedelse af OCES-certifikater. 6-7

7 behandles i modstrid med love og reguleringer, herunder GDPR-reguleringen. Aflevering af revisionserklæring til Nets DanID Erklæringsperioden løber fra 1. november til 31. oktober. RA skal anvende følgende skabeloner ved indsendelse af erklæringer: Ledelseserklæring Revisionserklæring fra intern revision vedr. RA-aftale Revisionserklæring fra ekstern revision vedr. RA-aftale Udfyldt revisionsinstruks. Revisionserklæringen skal baseres på Nets DanID s revisionsinstruks, som skal udfyldes og medsendes. Skabelonerne er tilgængelige på NemID RA-Univers. Hvis erklæring indeholder forbehold eller bemærkninger RA skal indsende udfyldt Ledelses- og Revisionserklæring til Nets DanID senest d. 15. december til esec-nemid-bank-audit@nets.eu Såfremt Ledelses- og Revisionserklæring indeholder bemærkninger eller forbehold, anbefaler Nets DanID, at RA medsender en plan til Nets DanID for, hvordan og hvornår disse planlægges udbedret. 7-7