Tlf: HUMAN TIME A/S

Størrelse: px
Starte visningen fra side:

Download "Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S"

Transkript

1 Tlf: BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN AF WHISTLEBLOWERSYSTEMET OG DE TILHØRENDE KONTROLLER OG DERES UDFORMNING TIL SIKRING AF OVERHOLDELSE AF LOV OM BEHANDLING AF PERSONOPLYSNINGER BDO Statsautoriseret revisionsaktieselskab, en danskejet revisions- og rådgivningsvirksomhed, er medlem af BDO International Limited - et UK-baseret selskab med begrænset hæftelse - og en del af det internationale BDO netværk bestående af uafhængige medlemsfirmaer.

2 INDHOLDSFORTEGNELSE Side 1. Uafhængig revisors erklæring om beskrivelsen af whistleblowersystemet og de tilhørende kontroller og deres udformning til sikring af overholdelse af lov om behandling af personoplysninger Udsagn fra Human Time A/S Human Time A/S beskrivelse af whistleblowersystemet og de tilhørende kontroller til sikring af overholdelse af lov om behandling af personoplysninger Kontrolmål, kontroller, test og resultat af test Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og Inddatamateriale som indeholder personoplysninger Autorisation og adgangskontrol - 11, 12 og Uddatamateriale som indeholder personoplysninger Eksterne kommunikationsforbindelser Kontrol med afviste adgangsforsøg Logning Almindelige bestemmelser Andre forhold... 20

3 1 1. UAFHÆNGIG REVISORS ERKLÆRING OM BESKRIVELSEN AF WHISTLEBLOWERSYSTEMET OG DE TILHØRENDE KONTROLLER OG DERES UDFORMNING TIL SIKRING AF OVERHOLDELSE AF LOV OM BEHANDLING AF PERSONOPLYSNINGER Til: Ledelsen i Human Time A/S Human Time A/S kunder Indledning Vi har fået som opgave at afgive erklæring om Human Time A/S (serviceleverandøren) beskrivelse på side 4 af whistleblowersystemet og de pr. 1. juni 2012 tilhørende kontroller og deres udformning til sikring af overholdelse af lov om behandling af personoplysninger, og om serviceleverandøren i forhold til det anvendte whisleblowersystem overholder lov om behandling af personoplysninger. Serviceleverandørens ansvar På side 3 i nærværende rapport har serviceleverandøren afgivet et udsagn om egnetheden af den samlede præsentation af beskrivelsen og hensigtsmæssigheden af de udformede kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Serviceleverandøren er ansvarlig for udarbejdelsen af beskrivelsen og udsagnet, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret. Endvidere er serviceleverandøren ansvarlig for leveringen af de ydelser, beskrivelsen omfatter. Serviceleverandøren er desuden ansvarlig for at definere kontrolmål samt udforme og implementere tekniske og organisatoriske foranstaltninger (kontroller) mod, at de i whistleblowersystemet registrerede personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, eller at disse personoplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Revisors ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om serviceleverandørens beskrivelse samt om udformningen af kontroller, der knytter sig til de kontrolmål, som er anført i denne beskrivelse, og om serviceleverandøren i forhold til det anvendte whistleblowersystem overholder lov om behandling af personoplysninger. Vi har udført vores arbejde i overensstemmelse med ISAE 3000 om andre erklæringsopgaver med sikkerhed end revision eller review af historiske oplysninger. Revisionen er tilrettelagt og udført med henblik på at opnå høj grad af sikkerhed for vores konklusion og er baseret på lov om behandling af personoplysninger, jf. lov nr. 479 af 31. maj 2000 med senere ændringer, og de i medfør af loven udstedte bekendtgørelser, herunder bekendtgørelse nr. 528 af 15. juni 2000 med senere ændringer (sikkerhedsbekendtgørelsen). En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen og udformningen af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet. En erklæringsopgave med sikkerhed omfatter endvidere vurdering af den samlede præsentation af beskrivelsen og hensigtsmæssigheden af de anførte kontrolmål. Vores arbejde har omfattet forespørgsler, observationer og inspektioner samt stikprøvevis efterprøvelse af den information, vi har modtaget. Det er vores opfattelse, at det udførte arbejde giver et tilstrækkeligt og egnet grundlag for vores konklusion. Begrænsning i kontroller hos en serviceleverandør Serviceleverandørens beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder, og omfatter derfor ikke nødvendigvis alle de aspekter ved whistleblowersystemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage fejl eller udeladelser ved behandlingen af personoplysninger.

4

5 3 2. UDSAGN FRA HUMAN TIME A/S Human Time A/S - Bomuldsgade 4, 2. sal, 2500 Valby - -

6 4 3. HUMAN TIME A/S BESKRIVELSE AF WHISTLEBLOWERSYSTEMET OG DE TILHØRENDE KONTROLLER TIL SIKRING AF OVERHOLDELSE AF LOV OM BEHANDLING AF PERSONOPLYSNINGER Indledning Det er af væsentlig betydning for Human Time A/S ledelse, at der til stadighed er 100% fokus på itsikkerhed, at de trufne foranstaltninger til sikring af et højt it-sikkerhedsniveau løbende bliver vedligeholdt, samt at det med jævne mellemrum vurderes, om der er behov for at justere foranstaltningerne. Human Time A/S har valgt at få udarbejdet en revisorerklæring for at dokumentere over for kunderne, at virksomheden anser et højt it-sikkerhedsniveau som en selvfølge særligt når der er tale om et system, hvori der lagres meget personfølsomme data. Systemet Systemet leveres som en SaaS (Software as a Service), det vil sige en internetbaseret applikation hostet af Human Time A/S. Systemet består af en it-portal, hvor whistleblowere hos kundens ansatte og/eller forretningsforbindelser/samarbejdspartnere anonymt kan indrapportere kritisable forhold. I systemets administrator-portal kan kundens administrator-brugere foretage sagsbehandlingen i et elektronisk sagsbehandlingssystem. Alle personfølsomme data i kundernes whistleblowersystemer er krypterede med en kundespecifik krypteringsnøgle. Ingen medarbejdere hos Human Time A/S ej heller systemudviklerne - har adgang til de personfølsomme data, der er lagret i kundernes whistleblower-portaler. Human Time A/S har ikke adgang til oplysningerne i kundernes systemer, da disse er krypterede. Derfor er det fastsat i kontrakten mellem kunden og Human Time A/S, at kunden er ansvarlig for: med jævnlige mellemrum at gennemgå transaktionsloggen, at den i systemet konfigurerede passwordpolitik overholder persondatalovens og sikkerhedsbekendtgørelsens krav til kompleksitet, periodisk passwordskift samt midlertidig deaktivering af login i tilfælde af forgæves login-forsøg, at der er implementeret procedurer for sletning af transaktionslog og personfølsomme oplysninger i overensstemmelse med retningslinjerne i persondatalovgivningen, og at inddrage systemadgange for fratrædende medarbejdere samt i det tilfælde, hvor en medarbejder skifter stilling, hvorefter vedkommende ikke skal have adgang til systemet. Identifikation af risici og implementering af kontroller Human Time A/S ledelse har analyseret de systemmæssige risici. På baggrund af risikoanalysen har ledelsen formuleret relevante kontrolmål og implementeret de nødvendige og tilstrækkelige kontroller, så det tilsikres, at systemet overholder persondataloven og sikkerhedsbekendtgørelsen. Bilaget i denne rapport indeholder en liste over de implementerede kontrolmål og kontroller og er en integreret del af nærværende beskrivelse. Human Time A/S - Bomuldsgade 4, 2. sal, 2500 Valby - -

7 5 4. KONTROLMÅL, KONTROLLER, TEST OG RESULTAT AF TEST I nærværende beskrivelse er følgende informationer beskrevet af Human Time A/S: Relevante kontrolmål, udvalgt af Human Time A/S. Indførte kontrolaktiviteter, udvalgt af Human Time A/S, og udformet til at nå kontrolmålene. Human Time A/S kommentarer til de af revisor identificerede afvigelser. Vores arbejde blev gennemført i overensstemmelse med ISAE 3000 om andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger med henblik på at opnå høj grad af sikkerhed for vores konklusion. Vores test af kontrollernes design og implementering har omfattet de kontrolmål og tilknyttede kontrolaktiviteter, der er udvalgt af Human Time A/S. Vores test har omfattet de handlinger, som blev vurderet nødvendige for at kunne opnå høj grad af sikkerhed for, at de anførte kontrolmål blev opnået pr. 1. juni I nærværende beskrivelse er følgende informationer således beskrevet af BDO: En beskrivelse af de udførte test med henblik på at konkludere, hvorvidt Human Time A/S anførte kontroller var hensigtsmæssigt udformet til at nå de anførte kontrolmål. Resultatet af vores test af hensigtsmæssighed og udformning af kontroller med Human Time A/S kommentarer til enhver af de konstaterede afvigelser. De udførte test af kontrollernes design og implementering er beskrevet nedenfor: Type Forespørgsel Beskrivelse Forespørgsler hos passende personale hos Human Time A/S er udført for alle væsentlige kontrolaktiviteter. Forespørgslerne blev udført for blandt andet at opnå viden og yderligere oplysninger om indførte politikker og procedurer, herunder hvordan kontrolaktiviteterne udføres, samt at få bekræftet beviser for politikker, procedurer og kontroller. Inspektion Dokumenter og rapporter, der indeholder angivelse om udførelse af kontrollen, er gennemlæste med det formål at vurdere udformningen og overvågningen af de specifikke kontroller, herunder om kontrollerne er udformede, således at de kan forventes at blive effektive, hvis de implementeres, og om kontrollerne overvåges og kontrolleres tilstrækkeligt og med passende intervaller. Test af væsentlige systemopsætninger af tekniske platforme, databaser og netværksudstyr er udført for at påse, om kontroller er implementerede, herunder eksempelvis vurdering af logning, sikkerhedskopiering, patch management, autorisationer og adgangskontroller, datatransmission og besigtigelse af udstyr og lokaliteter. Observation Anvendelsen og eksistensen af specifikke kontroller er observeret, herunder test for at påse, at kontrollen er implementeret. For de ydelser, som Aimes Grid Services leverer, har vi modtaget en ISO certificering for Hosting, afgivet pr. 4. april For de ydelser, som Wannafind.dk A/S leverer, har vi fra uafhængig revisor modtaget en erklæring om efterlevelse af egen it-sikkerhedspolitik, afgivet for perioden 1. januar 31. december Disse serviceunderleverandørers relevante kontrolmål og tilknyttede kontroller indgår ikke i Human Time A/S beskrivelse af serviceydelser og kontroller i tilknytning til whistleblowersystemet. Vi har således alene vurderet erklæringen og testet de kontroller hos Human Time A/S, der overvåger funktionaliteten af serviceunderleverandørens kontroller.

8 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Ledelsen gennemfører én gang årligt en risikoanalyse og gennemgår kontrolmål og kontroller ( 5, stk.2). Vi har udført forespørgsler hos passende personale og inspiceret procedurebeskrivelse og referat fra seneste it-sikkerhedsudvalgsmøde, hvor it-sikkerhedspolitik, risikovurdering samt kontrolmål og kontroller blev gennemgået. Vi har foretaget inspektion af serviceleverandørens it-sikkerhedspolitik, risikovurdering, kontrolmål og kontroller. Instruktion til alle medarbejdere om overholdelse af HumanTimes A/S' kodeks for god it-adfærd ( 6). Vi har udført forespørgsler hos passende personale og inspiceret serviceleverandørens Kodeks for god it-adfærd samt modtaget kopi af alle medarbejderes erklæring om, at de er bekendte med Kodeks for god it-adfærd og vil overholde de beskrevne retningslinjer herfor. Indgåelse af databehandleraftaler med de underleverandører, der behandler persondata ( 7, stk.1). Vi har udført forespørgsler hos passende personale og inspiceret serviceleverandørens indgåede skriftlige databehandleraftale med hosting-leverandøren Aimes Grid Services i England samt tilhørende ISO certifikat. 6

9 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Indgåelse af databehandleraftaler med kunderne ( 7, stk.1). Vi har udført forespørgsler hos passende personale og inspiceret serviceleverandørens standard Softwareserviceaftale Vi har observeret, at hosting hos Aimes Grid Services i England er integreret i aftalen med de enkelte kunder. Begrænsning af de enkelte medarbejderes adgang til personfølsomme oplysninger ( 8). Vi har udført forespørgsler hos passende personale samt observeret, at det alene er medarbejdere i udviklingsafdelingen, der har adgang til udviklingsserveren i Holstebro og produktionsserveren i England. Vi har observeret, at ingen medarbejdere hos serviceleverandøren har adgang til personfølsomme data, da kunderne selv varetager sagsbehandlingen. Vi har observeret, at der ikke er personfølsomme data på udviklingsserveren, da der alene anvendes testdata herpå. Vi har via stikprøver observeret, at personfølsomme data på produktionsserveren er krypterede. 7

10 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Vi har udtrukket oplysninger fra Active Directory, og inspiceret tildelte brugerrettigheder. Begrænsning af adgang til kontorlokalerne i Holstebro ( 8). Vi har udført forespørgsler hos passende personale. Vi har inspiceret nøglekortoversigt samt templates for udlevering og inddragelse af nøglekort. Begrænsning af adgang til kontorlokalerne i Valby ( 8). Vi har udført forespørgsler hos passende personale. Vi har observeret, at de enkelte kontorlokaler er aflåst uden for normal arbejdstid, at indgangsdøren altid er aflåst, og at der er tilkoblet alarm, når der ikke er medarbejdere på kontoret. Vi har inspiceret nøgleoversigt samt templates for udlevering og inddragelse af nøgle. 8

11 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Begrænsning af adgang til hostingcenter ( 8). Vi har udført forespørgsler hos passende personale samt indgåede hostingaftale mellem Aimes Grid Services og serviceleverandøren. Endvidere har vi inspiceret tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Fratrådte medarbejdere skal afskæres fra at kunne tilgå Human Time A/S fysiske lokationer. Vi har udført forespørgsler hos passende personale samt templates for udlevering og inddragelse af nøgler og nøglekort. Begrænsning af fjernadgang til produktionsserver. Vi har udført forespørgsler hos passende personale samt observeret adgangssikkerheden for fjernadgang til produktionsserveren. Vi har inspiceret udtræk af brugere, grupper og tildelte rettigheder fra Active Directory. Begrænsning af hostingpartners adgang til produktionsserver ( 8). Vi har udført forespørgsel hos passende personale samt observeret adgangssikkerheden til produktionsserveren. 9

12 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Vi har via stikprøvekontrol inspiceret kryptering af personfølsomme data for henholdsvis indberetningsdata og auditlog. Begrænsning af personkreds med adgang til personfølsomme oplysninger i databasen ( 8). Vi har udført forespørgsel hos passende personale for begrænsning af adgang til personfølsomme oplysninger i databasen samt observeret, at personfølsomme data er krypterede. Vi har via stikprøvekontrol inspiceret kryptering af personfølsomme data for henholdsvis indberetningsdata og auditlog. Produktionsserveren skal beskyttes bag en firewall, så ingen udefrakommende kan tilgå den ( 8). Vi har udført forespørgsel hos passende personale og inspiceret indgåede hostingaftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Fratrådte medarbejdere skal afskæres fra at kunne tilgå Human Time A/S it-systemer. Vi har udført forespørgsel hos passende personale for nedlæggelse af adgange for fratrådte medarbejdere. 10

13 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Begrænsning af uvedkommende adgang til oprettede fjernadgangsforbindelser. Vi har udført forespørgsel hos passende personale. Vi har observeret adgangsbegrænsning og sikkerheden i forbindelse med fjernadgang. Det skal tilsikres, at et eventuelt fjendtligt angreb ikke vil kunne udnytte kendte sikkerhedsbrister på produktionsserveren. Vi har udført forespørgsel af passende personale. Vi har observeret, at produktionsserveren løbende opdateres og er sikret med henholdsvis password og faste IP-adresser. Der skal udføres penetrationstests, der dokumenterer, at der ikke er nogen kendte sikkerhedsbrister. Vi har udført forespørgsel hos passende personale. Vi har tillige inspiceret penetrationstestrapporter. Det skal sikres, at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab ved reparation/destruktion af serveren ( 9). Vi har udført forespørgsel hos passende personale. Vi har endvidere inspiceret den indgåede hostingaftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikater fra Bureau Veritas. 11

14 4.2 Inddatamateriale som indeholder personoplysninger - 10 Kontrolmål 7 Sikre at inddata ikke kommer til uvedkommendes kendskab. Det skal sikres, at inddata, som opbevares hos Human Time A/S, ikke kommer til uvedkommendes kendskab ( 10). samt indgåede aftaler. Vi har observeret, at alle personfølsomme data er sikret med kryptering. Vi har inspiceret procedurebeskrivelser for anvendelse af tolke, som sikrer, at informationer behandles fortroligt, og at medier bliver destrueret behørigt efter endt brug. Det skal sikres, at data ikke kan "opsnappes" i forbindelse med indtastningen i systemet ( 10).. Vi har ved logon til whistleblowersystemet observeret, at forbindelsen er krypteret med et Secure Socket Layer (SSL) certifikat. 12

15 4.3 Autorisation og adgangskontrol - 11, 12 og 16 Kontrolmål 8 9 Etablere betryggende ramme for autorisation og adgangskontrol Human Time A/S. Etablere betryggende ramme for autorisation og adgangskontrol Systembrugerne (kunderne). Der skal være retningslinjer for, hvilke medarbejdere der er autoriseret til at tilgå personfølsomme data, lagret i kundernes systemer ( 11 og 16).. Vi har via Walk Through og stikprøvekontrol observeret, at ingen af serviceleverandørens medarbejdere har adgang til kunders personfølsomme data. Der skal være etableret retningslinjer for brug af login-oplysninger ( 11 og 16).. Vi har observeret opsætning og begrænsninger for de forskellige medarbejdere hos serviceleverandøren. Det skal sikres, at Human Time A/S fratrædende medarbejderes systemadgange inddrages.. Der skal etableres adgangskontrol, så administratorer/sagsbehandlere kun kan logge ind ved brug af personlige login/password ( 12). samt serviceleverandørens standard Softwareserviceaftale Vi har inspiceret standardopsætningen i whistleblowersystemet og observeret login og passwordopsætning. 13

16 4.3 Autorisation og adgangskontrol - 11, 12 og 16 Kontrolmål 8 9 Etablere betryggende ramme for autorisation og adgangskontrol Human Time A/S. Etablere betryggende ramme for autorisation og adgangskontrol Systembrugerne (kunderne). Der skal etableres retningslinjer for password-politik ( 12). samt serviceleverandørens standard Softwareserviceaftale Systemadgange skal kunne begrænses, så der kun er adgang til de nødvendige funktionaliteter ( 12). samt serviceleverandørens standard Softwareserviceaftale Det skal sikres, at kundernes fratrædende medarbejderes systemadgange inddrages ( 12). samt serviceleverandørens standard Softwareserviceaftale 14

17 4.4 Uddatamateriale som indeholder personoplysninger - 13 Kontrolmål 10 Uddata. Begrænsning af adgang til uddata - Human Time A/S medarbejdere ( 13, stk.1). samt serviceleverandørens standard Softwareserviceaftale Begrænsning af adgang til uddata underleverandører ( 13, stk.1). samt kontroller for begrænsning af adgang til uddata. Begrænsning af adgang til uddata kunder ( 13, stk.2). samt serviceleverandørens standard Softwareserviceaftale Ingen afgivelser konstateret. Det skal sikres, at personoplysninger slettes i systemet, når der ikke længere er behov, for at have dem registreret ( 13, stk.4). samt serviceleverandørens standard Softwareserviceaftale 15

18 4.5 Eksterne kommunikationsforbindelser - 14 Kontrolmål 11 Eksterne kommunikationsforbindelser. Det skal sikres, at Human Time A/S opkobling til produktionsserveren sker via en krypteret linje ( 14). samt serviceleverandørens standard Softwareserviceaftale Vi har observeret, at opkobling til produktionsserveren sker via en SSL krypteret forbindelse. Det skal sikres, at der ikke afsendes personfølsomme oplysninger via ( 14).. Vi har observeret, at fremsendte til de berørte administratorer ikke indeholder personfølsomme oplysninger. Det skal sikres, at der ikke transmitteres personfølsomme oplysninger ukrypteret over det åbne internet ( 14).. Vi har observeret, at al kommunikation i administrationsportalen sker via SSL krypteret forbindelse. Det skal sikres, at uvedkommende ikke kan hacke produktionsserveren ( 14). samt indgået aftale mellem Aimes Grid Services og serviceleverandøren, herunder tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. 16

19 4.6 Kontrol med afviste adgangsforsøg - 18 Kontrolmål 12 Kontrol med afviste adgangsforsøg. Det skal sikres, at ingen uvedkommende kan få adgang til personfølsomme oplysninger i whistleblowersystemet ved bruteforce-hacking ( 18). samt serviceleverandørens standard Softwareserviceaftale Vi har observeret standardopsætningen for login-forsøg. Ingen afgivelser konstateret 17

20 4.7 Logning - 19 Kontrolmål 13 Logning. Det skal sikres, at alle væsentlige handlinger logges ( 19). samt opsætning af Auditlog. Ingen afgivelser konstateret Det skal sikres, at kun særligt autoriserede personer kan se audit-loggen ( 19). samt serviceleverandørens standard Softwareserviceaftale Vi har observeret, at Audit loggen er krypteret. Ingen afgivelser konstateret Det skal sikres, at audit-loggen slettes efter 6 måneder. samt serviceleverandørens standard Softwareserviceaftale Ingen afgivelser konstateret 18

21 4.8 Almindelige bestemmelser - 3 Kontrolmål 14 Sikre at produktionsdata ikke fortabes. Der skal implementeres backup-procedurer, der tilsikrer effektiv backup af produktionsdata ( 3). samt serviceleverandørens standard Softwareserviceaftale Vi har inspiceret indgåede aftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Vi har inspiceret indgåede aftale for remotebackup, konfiguration af backup og revisorerklæring om underleverandørens efterlevelse af egen itsikkerhedspolitik. Ingen afgivelser konstateret Det skal dokumenteres, hvorvidt de enkelte backups er blevet udført korrekt.. Vi har observeret rapporter for daglig sikkerhedskopiering og inspiceret dokumentation herfor. Ingen afgivelser konstateret Det skal sikres, at backup-proceduren for kundeportaler på produktionsserveren fungerer korrekt, og at backup-sæt kan retableres korrekt. samt serviceleverandørens standard Softwareserviceaftale Vi har observeret, at der har været foretaget retablering af produktionsdata med efterfølgende test af, om indlæste data var fuldt funktionsdygtige, og at der forefindes dokumentation herfor. Ingen afgivelser konstateret 19

22 4.9 Andre forhold Kontrolmål Beskyttelse af kildekode. Sikre at kundeportalerne hurtigt kan retableres i tilfælde af systemnedbrud. Sikre at systemændringer er veldokumenterede og er testet, inden de lægges i produktion. Sikre oppetid. Der skal implementeres en backupprocedure, der tilsikrer effektiv backup af kildekoden. Backupprocedure og kontroller er beskrevet under punkt 4.8. Det skal sikres, at de enkelte kildekode-backups bliver udført korrekt. Procedure for verificering af backup er beskrevet under punkt 4.8. Det skal sikres, at backup-proceduren for kildekoden fungerer korrekt, og at backup sæt kan retableres korrekt. Procedure for restoretest af backup er beskrevet under punkt 4.8. Det skal sikres, at uvedkommende ikke kan få adgang til kildekoden på udviklingsmaskinerne.. Vi har ved udtræk af brugerrettigheder fra Active Directory observeret begrænsning for adgang til kildekoden. Det skal tilsikres, at uvedkommende ikke kan få fysisk adgang til udviklingsserveren.. Vi har inspiceret nøglekortoversigt samt templates for udlevering og inddragelse af nøglekort. Ingen afgivelser konstateret 20

23 4.9 Andre forhold Kontrolmål Beskyttelse af kildekode. Sikre at kundeportalerne hurtigt kan retableres i tilfælde af systemnedbrud. Sikre at systemændringer er veldokumenterede og er testet, inden de lægges i produktion. Sikre oppetid. Der skal være en beredskabsplan, der foreskriver, hvordan kundeportalerne hurtigt kan retableres i tilfælde af hardwarefejl/systemnedbrud. og inspiceret beredskabsplanen. Vi har tillige inspiceret indgåede aftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Ingen afgivelser konstateret Det skal sikres, at det registreres, hvilke systemændringer der implementeres i hver versionsopdatering. Alle systemændringer skal testes på betryggende vis, inden de lægges i produktion.. Vi har i udviklingsværktøjet observeret, at samtlige ændringer registreres heri. i forbindelse med håndtering af systemændringer, herunder bestilling af ændringer, test og godkendelse heraf, før den endelige version overføres til produktionsmiljøet. Der skal implementeres versionsstyring for de enkelte kildekodefiler. Versionsstyring af kildekodefiler er medtaget under kontrollen for registrering af, hvilke systemændringer der implementeres i hver versionsopdatering. 21

24 4.9 Andre forhold Kontrolmål Beskyttelse af kildekode. Sikre at kundeportalerne hurtigt kan retableres i tilfælde af systemnedbrud. Sikre at systemændringer er veldokumenterede og er testet, inden de lægges i produktion. Sikre oppetid. Der skal implementeres et overvågningssystem, der registrerer nedetid.. Vi har observeret overvågningssystemet og registrering af nedetid for hver enkelt kunde. Overvågning af øvrigt produktionsudstyr varetages af hostingcentret Aimes Grid Services. 22

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Greve Kommune. Revision af generelle it-kontroller

Greve Kommune. Revision af generelle it-kontroller Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr. 4 1 37 14 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

Oversigt (indholdsfortegnelse)

Oversigt (indholdsfortegnelse) Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

Læs mere

Bestilling af online backup

Bestilling af online backup Bestilling af online backup 1. kundelogin (telefonnummer): 2. Abonnement: Sæt kryds Plads på server Oprettelse Månedligt abonnement 500 MB 499,- 100,- 1 GB 499,- 135,- 2 GB 499,- 170,- 3 GB 499,- 205,-

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

DANMARKS BIBLIOTEKSFORENING UDSKRIFT AF REVISIONSPROTOKOL SIDE 123-127 VEDRØRENDE ÅRSREGNSKABET 2013

DANMARKS BIBLIOTEKSFORENING UDSKRIFT AF REVISIONSPROTOKOL SIDE 123-127 VEDRØRENDE ÅRSREGNSKABET 2013 Tlf: 39 15 52 00 BDO Statsautoriseret revisionsaktieselskab koebenhavn@bdo.dk Havneholmen 29 www.bdo.dk DK-1561 København V CVR-nr. 20 22 26 70 DANMARKS BIBLIOTEKSFORENING UDSKRIFT AF REVISIONSPROTOKOL

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

Outsourcing. ydelser. Erklæring. type 1 - type 2. Hostingløsning. Database. Bogføringsloven. Årsregnskab. Sikkerhedsforanstaltninger.

Outsourcing. ydelser. Erklæring. type 1 - type 2. Hostingløsning. Database. Bogføringsloven. Årsregnskab. Sikkerhedsforanstaltninger. It-sikkerhed International standard Datasikkerhed Outsourcing Årsregnskab Sikkerhedsforanstaltninger It Regnskabsdata Data Hosting type 1 - type 2 Persondataloven Revision Hostingløsning Hostingcenter

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

It-sikkerhedstekst ST5

It-sikkerhedstekst ST5 It-sikkerhedstekst ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST5 Version

Læs mere

Bestilling af remote backup

Bestilling af remote backup Bestilling af remote backup 1. kundelogin (telefonnummer): 2. Abonnement: Sæt kryds Plads på server Oprettelse Månedligt abonnement 1 GB 0,- 56,- 5 GB 0,- 125,- 10 GB 0,- 220,- 15 GB 0,- 275,- 20 GB 0,-

Læs mere

Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank)

Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank) Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank) Virksomhedens ledelse har ansvaret for etablering, implementering anvendelse af det generelle erklæringsopgaver med sikkerhed samt

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Arbejdsmiljøguide for Odder Kommune

Arbejdsmiljøguide for Odder Kommune Arbejdsmiljøguide for Odder Kommune 1. Politikker Logpolitik Dok. Nr. 1.12 Version: 1 Niveau: 2 Dato 050508 Side 1 af 9 Logpolitik Formål At fastlægge og beskrive ansvar, pligter og konsekvenser når medarbejdere

Læs mere

"SAP" betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten.

SAP betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten. Serviceaftaleprogram for Ariba Cloud Services Garanti for Tjenestens tilgængelighed Sikkerhed Diverse 1. Garanti for Tjenestens tilgængelighed a. Anvendelighed. Garantien for tjenestens tilgængelighed

Læs mere

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret Maj 2015 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 18. maj

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

DATASIKRING OG E-DISCOVERY

DATASIKRING OG E-DISCOVERY DATASIKRING OG E-DISCOVERY Værktøjer til sikring og intelligent udsøgning af elektroniske informationer DATASIKRING Sikring af data er en klar forudsætning for valid udsøgning og analyse af økonomidata

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank)

Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank) Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank) Til ledelsen i Revisionsvirksomheden XX Adresse CVR-nr. og Revisortilsynet Undertegnede statsaut./reg. Revisor NN har efter aftale

Læs mere

ASSENS HAVN UDSKRIFT AF REVISIONSPROTOKOL SIDE 110-113 VEDRØRENDE ÅRSREGNSKABET 2013

ASSENS HAVN UDSKRIFT AF REVISIONSPROTOKOL SIDE 110-113 VEDRØRENDE ÅRSREGNSKABET 2013 Tlf: 70 20 02 13 BDO Statsautoriseret revisionsaktieselskab middelfart@bdo.dk Mandal Allé 16 A. www.bdo.dk DK-5500 Middelfart CVR-nr. 20 22 26 70 ASSENS HAVN UDSKRIFT AF REVISIONSPROTOKOL SIDE 110-113

Læs mere

Vejledning. til. LetRegnskab.dk Årsrapport. Administration og brugen af hjemmesidens funktioner

Vejledning. til. LetRegnskab.dk Årsrapport. Administration og brugen af hjemmesidens funktioner Vejledning til LetRegnskab.dk Årsrapport Administration og brugen af hjemmesidens funktioner Version 2010.02 Indholdsfortegnelse Indholdsfortegnelse 2 Indledning 3 Log in 4 Vedligeholdelse af stamoplysninger

Læs mere

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant Modtagelseserklæring Modtagelseserklæring for AAU ITS Infrastruktur version 4. Anvendelse Modtagelseserklæringen skal anvendes i forbindelse med projekter drevet af PMO, AIU eller IFS. Projektlederen er

Læs mere

It-sikkerhedstekst ST9

It-sikkerhedstekst ST9 It-sikkerhedstekst ST9 Single Sign-On og log-ud Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST9 Version 1 Juli 2015 Single Sign-On og log-ud Betegnelsen Single Sign-On (SSO)

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

Miracle A/S. ISAE 3402 Type 2

Miracle A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle A/S ISAE 3402 Type

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

OiSTER Salgsvilkår Version 14. september 2014. 1. Generelt... 2. 2. Levering... 2. 3. Betaling og kreditvurdering... 2. 3.1 Kontantkøb - generelt...

OiSTER Salgsvilkår Version 14. september 2014. 1. Generelt... 2. 2. Levering... 2. 3. Betaling og kreditvurdering... 2. 3.1 Kontantkøb - generelt... OiSTER Salgsvilkår Version 14. september 2014 1. Generelt... 2 2. Levering... 2 3. Betaling og kreditvurdering... 2 3.1 Kontantkøb - generelt... 2 3.2 Kontantkøb - opkrævning... 2 3.3 OiSTER afdrag...

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Abonnementsaftale for INNOMATE HR

Abonnementsaftale for INNOMATE HR Abonnementsaftale for INNOMATE HR Dette er en aftale vedrørende abonnement på et eller flere INNOMATE HR-moduler leveret som SaaS (Software-as-a-Service), samt de hermed forbundne ydelser fra INNOMATE

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

DANSK SELSKAB FOR MEKANISK DIAGNOSTIK OG TERAPI 15. REGNSKABSÅR

DANSK SELSKAB FOR MEKANISK DIAGNOSTIK OG TERAPI 15. REGNSKABSÅR Tlf.: 75 18 16 66 BDO Statsautoriseret revisionsaktieselskab esbjerg@bdo.dk Bavnehøjvej 6 www.bdo.dk DK-6700 Esbjerg CVR-nr. 20 22 26 7020222670 DANSK SELSKAB FOR MEKANISK DIAGNOSTIK OG TERAPI ÅRSRAPPORT

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

K e n d e l s e: Ved skrivelse af 25. august 2008 har Revisortilsynet klaget over J. Revision v/ Jan Rasmussen og registreret revisor Jan Rasmussen.

K e n d e l s e: Ved skrivelse af 25. august 2008 har Revisortilsynet klaget over J. Revision v/ Jan Rasmussen og registreret revisor Jan Rasmussen. Den 19. april 2010 blev der i sag nr. 61/2008-R Revisortilsynet mod J. Revision v/ Jan Rasmussen CVR-nr. 21 17 24 48 og registreret revisor Jan Rasmussen afsagt sålydende K e n d e l s e: Ved skrivelse

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Revisionsprotokollat af 27. marts 2011

Revisionsprotokollat af 27. marts 2011 KPMG Statsautoriseret Revisionspartnerselskab AUDIT Borups Allé 177 Postboks 250 2000 Frederiksberg Telefon 38 18 30 00 Telefax 72 29 30 30 www.kpmg.dk Revisionsprotokollat af 27. marts 2011 til årsrapporten

Læs mere

Kommissorium for bestyrelsens revisionsudvalg.

Kommissorium for bestyrelsens revisionsudvalg. Kommissorium for bestyrelsens revisionsudvalg. Introduktion Introduktion Nærværende kommissorium kan anvendes som inspiration til udarbejdelse af kommissorier for revisionsudvalg etableret som selvstændige

Læs mere

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum Nr. 1 16. juli 2014 Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum (Vejledning til bekendtgørelse om outsourcing af væsentlige aktivitetsområder) 1. Indledning 1.1. Kunngerð nr. 1 frá 16.

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

1.2 Betingelserne gælder fra den 1. januar 2015 og erstatter alle tidligere betingelser for anvendelse af Services.

1.2 Betingelserne gælder fra den 1. januar 2015 og erstatter alle tidligere betingelser for anvendelse af Services. Abonnementsbetingelser for brug af Toolpack -Online Services 1. Anvendelse og gyldighed 1.1 Disse betingelser ( Betingelserne ) for anvendelse af Toolpack Online Services ( Services ) gælder for enhver

Læs mere

Indledning til vejledning for intern overvågning...2. Aftaleprogram...3. Hvilke aftaler er omfattet af overvågningsprogrammet?...3

Indledning til vejledning for intern overvågning...2. Aftaleprogram...3. Hvilke aftaler er omfattet af overvågningsprogrammet?...3 FVD vejledning 09/2010 Indholdsfortegnelse Indledning til vejledning for intern overvågning...2 Praktisk vejledning til internovervågnings program....3 Aftaleprogram...3 Hvilke aftaler er omfattet af overvågningsprogrammet?...3

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Service Level Agreement Version 2.0 d. 1. april 2014

Service Level Agreement Version 2.0 d. 1. april 2014 Service Level Agreement Version 2.0 d. 1. april 2014 EDB-Eksperten.dk 1. Præambel... 3 1.1. Definitioner... 3 1.2. Produktomfang... 3 2. Driftsvindue og tider... 3 2.1. Driftsvindue... 3 2.2. Åbningstid...

Læs mere

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

Brugervejledning. Generering af nøgler til SFTP-løsningen vedrørende. datakommunikation med Nets. Nets A/S - versionsdato 28.

Brugervejledning. Generering af nøgler til SFTP-løsningen vedrørende. datakommunikation med Nets. Nets A/S - versionsdato 28. Nets A/S Lautrupbjerg 10 P.O. 500 DK-2750 Ballerup T +45 44 68 44 68 F +45 44 86 09 30 www.nets.eu CVR-nr. 20016175 Brugervejledning Generering af nøgler til SFTP-løsningen vedrørende datakommunikation

Læs mere

Service Level Agreement

Service Level Agreement Nærværende dokument klarlægger de serviceforpligtelser, som Leverandøren har over for Kunden, i forbindelse med deres indbyrdes aftaleforhold. Forpligtelserne er gældende såfremt den tilhørende hostingaftale

Læs mere

Revisionsudvalgets årlige selvevaluering.

Revisionsudvalgets årlige selvevaluering. Revisionsudvalgets årlige selvevaluering. Arbejdsplan for revisionsudvalget 2007 Introduktion Nærværende skema kan anvendes som hjælp til selvevaluering af revisionsudvalget. Skemaet bygger på information,

Læs mere

Vejledning til skabelonen Databehandleraftale_feb2015

Vejledning til skabelonen Databehandleraftale_feb2015 Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Vejledning til skabelonen Databehandleraftale_feb2015 Skabelonen Databehandleraftale_feb2015

Læs mere

Omkring: FrivilligCenter Lollands økonomistyring, bilagskontrollanternes kommentarer, FrivilligCenter Lollands respons

Omkring: FrivilligCenter Lollands økonomistyring, bilagskontrollanternes kommentarer, FrivilligCenter Lollands respons Omkring: FrivilligCenter Lollands økonomistyring, bilagskontrollanternes kommentarer, FrivilligCenter Lollands respons og kommentar fra BDO 17. marts 2010 Kære forsamling og kære Henning Johansen og Henrik

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere