Wannafind. ISAE 3402 Type 2

Størrelse: px
Starte visningen fra side:

Download "Wannafind. ISAE 3402 Type 2"

Transkript

1 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax Wannafind ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til driftsog hosting-ydelser for 1. januar 2012 til 31. december 2012 Medlem af Deloitte Touche Tohmatsu Limited

2 Deloitte 1 Indholdsfortegnelse Side 1. Uafhængig revisors erklæring 1 2. Udsagn fra Wannafind 4 3. Systembeskrivelse fra Wannafind Introduktion Beskrivelse af Wannafinds ydelser Wannafinds organisation og sikkerhed Risikostyring ved Wannafind Kontrolrammer, kontrolstruktur og kriterier for kontrolimplementering Etableret kontrolmiljø Informationssikkerhed Intern organisering af it-sikkerhed Fysisk sikkerhed Styring af kommunikation med Kunder Backup Drift og overvågning Adgangskontrol Anskaffelse og vedligeholdelse af infrastruktur Supplerende information omkring det etablerede kontrolmiljø Forhold, som skal iagtages af kundernes revisorer Information distribueret af Deloitte Introduktion Kontrolmiljøelementer Test af effektivitet Sikkerhed: Kontrolmål og kontrolaktiviteter 18

3 Deloitte 1 1. Uafhængig revisors erklæring Til ledelsen hos Wannafind, Wannafinds kunder og deres revisorer. Omfang Vi har fået til opgave at erklære os vedrørende Wannafinds udsagn i afsnit 2 samt de tilhørende beskrivelser af system- og kontrolmiljøet i afsnit 3 for Wannafinds drifts- og hosting-ydelser, omfattende design, implementering og effektivitet af kontroller anført i beskrivelsen. Wannafinds beskrivelse omhandler de kontroller, som er etableret til sikring af system-, data- og driftsikkerheden for applikationer og underliggende infrastruktur på de serviceydelser, som Wannafind tilbyder drifts- og hostingkunder (generelle it-kontroller). Denne erklæring er udarbejdet efter helhedsmetoden og omfatter således ledelsens beskrivelse af kontrolmål og de hertil hørende kontrolaktiviteter hos Wannafind på alle områder inden for de generelle it-kontroller, som kan henføres til de leverede serviceydelser. Wannafinds ansvar Wannafind er ansvarlig for udarbejdelse af efterfølgende udsagn samt beskrivelse af system- og kontrolmiljøet, jf. afsnit 3. Wannafind er endvidere ansvarlig for sikring af beskrivelsens fuldstændighed og nøjagtighed, herunder sikre en korrekt fremstilling og præsentationen af udsagn og beskrivelse i denne erklæring. Det er endvidere Wannafinds ansvar at levere de ydelser, som beskrivelsen omfatter, og at udforme og designe samt implementere effektive kontroller for at opnå de identificerede kontrolmål. Revisors ansvar Det er vores ansvar, baseret på vores procedurer, at udtrykke en konklusion om Wannafinds beskrivelse samt om design, implementering og effektivitet af kontroller relateret til de kontrolmål, der er anført i deres beskrivelse. Vi har udført vores arbejder i henhold til International Standard on Assurance Engagements 3402, Assurance Reports on Controls at a Service Organization, udgivet af International Auditing and Assurance Standards Board. Denne standard kræver, at vi opfylder etiske krav samt planlægger og udfører vores procedurer med henblik på at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er dækkende, og kontrollerne er hensigtsmæssigt designet og fungerer effektivt. En erklæringsopgave med sikkerhed for beskrivelsen, design og effektiviteten af kontroller hos Wannafind omfatter udførelse af procedurer med henblik på at opnå bevis for Wannafinds beskrivelse af

4 Deloitte 2 sit system, samt for kontrollernes design og effektivitet. De udvalgte procedurer afhænger af revisors vurdering, herunder vurdering af risikoen for, at beskrivelsen ikke fremstår dækkende, og at kontroller ikke er hensigtsmæssigt designet eller ikke fungerer effektivt. Vores procedurer omfatter en test af effektiviteten af de kontroller, som vi anser som nødvendige for at opnå en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, bliver nået. Vores procedure omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte kontrolmål, samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør Wannafinds beskrivelse er udarbejdet med henblik på at imødekomme kravene fra en bred vifte af kunder og disses revisorer og kan derfor ikke omfatte alle aspekter af kontrol i et system, som den enkelte kunde anser som værende vigtigt for eget kontrolmiljø. Kontroller i en servicevirksomhed kan heller ikke i sagens natur forhindre eller opdage alle fejl eller udeladelser i proces- eller rapporteringstransaktioner. Derudover er forskydningen af effektivitetsvurdering udsat for den risiko, at kontroller i en servicevirksomhed kan blive utilstrækkelige eller fejle. Endvidere vil en anvendelse af vores konklusion på efterfølgende perioders transaktioner være undergivet en risiko for, at der foretages ændringer af systemer eller kontroller, eller i virksomhedens overholdelse af de beskrevne politikker og procedurer, hvorved vor konklusion muligvis ikke længere vil være gældende. Konklusion Vores konklusion er udformet på basis af de forhold, der er beskrevet i denne erklæring. De kriterier, som vi har anvendt i forbindelse med vores konklusion, er beskrevet i afsnit 4. På grundlag af den udførte revision, er det vores vurdering, at: a) beskrivelsen af de generelle it-kontroller med relevans for system-, data- og driftssikkerheden for Wannafinds kunder, således som de var udformet og implementeret i perioden i alle væsentlige henseender er dækkende, og b) kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden

5 Deloitte 3 c) de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden Beskrivelse af test af kontroller De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultatet af disse tests fremgår af afsnit 4. Tiltænkte brugere og formål Denne erklæring, beskrivelse af system- og kontrolmiljø i afsnit 3 samt vores test af kontroller i afsnit 4, er udelukkende tiltænkt kunder, der har anvendt Wannafinds ydelser og disses revisorer, og som har tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kundernes egne kontroller, når de vurderer risici for væsentlige fejlinformationer i deres regnskaber. København, den 22. februar 2013 Deloitte Statsautoriseret Revisionspartnerselskab Steen Gellert-Kristensen statsautoriseret revisor Henrik Roed Svendsen director, CISA, CEGIT

6

7 Deloitte 5 3. Systembeskrivelse fra Wannafind 3.1 Introduktion Denne beskrivelse er udfærdiget med henblik på at levere information til brug for Wannafinds kunder og disses revisorer i overensstemmelse med kravene i den danske revisionsstandard ISAE3402 for erklæringsopgaver om kontroller hos serviceleverandør. Beskrivelsen omfatter informationer om system- og kontrolmiljøet, der er etableret ifm. Wannafinds leverance af serviceydelser på drifts- og hosting. Beskrivelsen indeholder beskrivelser af de anvendte procedurer til sikring af en betryggende afvikling af systemer. Formålet er at give tilstrækkelige informationer til, at hosting-kunders revisorer selvstændigt kan vurdere afdækningen af risici for kontrolsvagheder i kontrolmiljøet i det omfang, det kan medføre en risiko for væsentlige fejl i hosting-kunders it-drift for perioden til Beskrivelse af Wannafinds ydelser Wannafind udvikler, administrerer og servicerer en vifte af professionelle hosting- og Cloud løsninger for en lang række virksomheder og organisationer i Danmark. Wannafind arbejder over hele linjen ud fra en stræben efter at levere løsninger, der kvalitets- og servicemæssigt differentierer sig fra størstedelen af det resterende hosting-marked. Med mere end 10 år på bagen har vi erfaret, at graden af kunders tilfredshed har den direkte sammenhæng med niveauet på leverandørens service, tekniske kompetencer og kvaliteten af det hardware, som Wannafinds løsninger driftes på. Det er derfor i stor stil de værdier, som vi baserer vores forretningsgrundlag på. Fundamentet i forretningen er et moderne datacenter, som vi drifter med udgangspunkt i, at det skal kunne supportere stabilitet, sikkerhed og en hastighed, der kan imødekomme servicekrav fra kritiske og kvalitetsbevidste kunder. Med vores højt certificerede og fagligt erfarne medarbejdere kan vi støtte op omkring enhver type af hosting-løsninger altid med yderst kompetent rådgivning.

8 Deloitte Wannafinds organisation og sikkerhed Ansvar og organisering i Wannafind fremgår af nedenstående organisationsdiagram: Adm. Direktør Pelle Martin Smidt Service Desk Operations Development Sales and marketing Linux Windows Architecture Network Storage Security 3.4 Risikostyring ved Wannafind Risikostyring gennemføres i Wannafind på flere områder og niveauer. Der gennemføres en årlig risiko- og trusselsvurdering, der sigter mod interne systemer generelt. Input til denne vurdering indhentes fra alle niveauer i organisationen. Processen faciliteres af ansvarlige og ledere, der udarbejder udkast til Wannafinds ledelse. Efter intern bearbejdning godkendes vurderingen af Wannafinds ledelse. I projektindstillingsfasen udarbejdes der, afhængig af projektets karakter, dels en sikkerhedsvurdering dels en vurdering af særlige risici og usikkerheder. Dette sker efter en foruddefineret proces. På operationelt projektniveau gennemføres løbende risikostyring. Der arbejdes efter en fast projektstyringsmodel, hvor ansvaret for projektrelateret risikostyring gennemføres af projektlederen, som ofte vælger at inddrage projektdeltagere, eksterne partnere og eventuelle styregruppemedlemmer i processen.

9 Deloitte Kontrolrammer, kontrolstruktur og kriterier for kontrolimplementering Wannafinds it-sikkerhedspolitik, etablerede processer og kontroller omfatter alle systemer og ydelser, der tilbydes kunderne. Det fortsatte arbejde med tilpasning og forbedring af Wannafinds sikringsforanstaltninger sker løbende i samarbejde med højt kvalificerede specialister. Fastsættelse af kriterier og omfang for kontrolimplementering hos Wannafind sker ud fra ISO 27001/27002 standarderne. Med udgangspunkt i dette kontrol framework er relevante kontrolområder og kontrolaktiviteter implementeret på de serviceydelser, som leveres af Wannafind. Med udgangspunkt i den valgte kontrolmodel indgår følgende kontrolområder i det samlede kontrolmiljø: Informationssikkerhed Intern organisering af it-sikkerhed Fysisk sikkerhed Styring af kommunikation med kunder Backup Drift og overvågning Adgangskontrol Anskaffelse og vedligeholdelse af netværk 3.6 Etableret kontrolmiljø Hvert enkelt område er detaljebeskrevet i de efterfølgende afsnit Informationssikkerhed Formål En ledelsesgodkendt it-sikkerhedspolitik er udarbejdet med udgangspunkt i en it-risikoanalyse, og er kommunikeret ud til relevante medarbejdere i virksomheden. Anvendte procedurer og kontroller Wannafind identificerer og afdækker relevante it-risici på de etablerede serviceydelser til kunderne. Dette varetages gennem en løbende trussels- og risikovurdering hos Wannafind, dels i forbindelse med alle udviklingsprojekter og ændringer i systemmiljøer, og dels ved en årlig revurdering af risikoanalysen. Resultatet af den årlige revurdering forelægges ledelsen til godkendelse. Wannafind stiller endvidere en række informationer til rådighed for hosting-kundernes revisorer til brug for deres vurdering af Wannafind som serviceleverandør. Ud over driftsrelaterede forhold kan Wannafind også informere om sikkerhedsmæssige forhold i det omfang, de tilsluttede kunder efterspørger dette.

10 Deloitte 8 Tidspunkt for udførsel af kontrollen It-sikkerhedspolitikken revurderes mindst én gang årligt forinden udførelse af it-revision og udarbejdelse af erklæring. Hvem udfører kontrollen Den årlige gennemgang udføres af sikkerhedsgruppen. Kontrol dokumentation Der er versionsstyring af it-sikkerhedspolitikken Intern organisering af it-sikkerhed Direktionen i Wannafind, som er den øverst ansvarlige for it-sikkerheden, sørger for, at der til stadighed er etableret procedurer og tilknyttet systemer, der understøtter overholdelsen af den til enhver tid gældende it-sikkerhedspolitik. It-sikkerhedsgruppen beskriver de overordnede målsætninger og den Driftsansvarlige er ansvarlig for udarbejdelse og implementering af relevante kontroller til efterlevelse af it-sikkerhedspolitikken. Sikkerhedsniveauet skal være målbart og kontrollabelt ud fra en ressourcemæssig vurdering af omkostninger og risiko, samt være udtryk for best practice inden for de enkelte kontrolaktiviteter på de serviceområder, som tilbydes kunderne. It-sikkerhedsgruppen består pt. af følgende medlemmer: Adm. Direktør, Pelle Martin Smidt Driftschef, Ole P. Jensen Systemarkitekt, Jakob Schwartz Gruppen mødes 1 gang årligt for at fastsætte og følge op på målsætninger i relation til it-sikkerheden Fysisk sikkerhed Wannafind har et datacenter til kundernes og eget udstyr. Fysisk adgangskontrol og sikring Formål Den fysiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med kunders ønsker. Anvendte procedurer og kontroller Adgang til bygning er kontrolleret via nøglekort, som er udleveret til Wannafinds personale med arbejdsmæssigt behov.

11 Deloitte 9 Datacenteret er hævet over grundniveau og lokalet er beskyttet med fastmonteret gitter for alle vinduer. Endvidere er alle døre i datacenteret sikret med elektronisk låsemekanisme, som kun kan låses op med registrerede nøglekort. Endelig er der etableret et alarmsystem, som alarmerer vagten ved forsøg på indbrud. Tidspunkt for udførsel af kontrollen Der sker en periodisk gennemgang af nøglekortholdere ved udskiftning af personale eller som minimum en gang om året. Hvem udfører kontrollen Driftsafdelingen. Kontrol dokumentation Udskrift af nøglekort fra alarmsystemet. Sikring mod miljømæssige hændelser Formål It-udstyr er beskyttet mod miljømæssige hændelser som strømsvigt og brand. Anvendte procedurer og kontroller Datacenterets serverrum er beskyttet mod følgende miljømæssige hændelser: Strømsikring Brandsikring Klima På alt vitalt it-udstyr er strøm sikret med en UPS-installation, som kan holde systemerne med strøm, indtil generator automatisk er startet og klar. I datacenteret er der etableret røg- og temperaturfølere, der er koblet sammen med det centrale overvågningssystem. Datacenteret er endvidere forsynet med automatisk brandbekæmpelsesudstyr (der aktiveres ved for høje værdier på enten røg eller varme). Der udføres løbende service på disse anlæg. Varmeudviklingen i centeret reguleres gennem det fuldautomatiske kølesystem, som sikrer den korrekte temperatur og luftfugtighed for sikring af stabil drift og lang holdbarhed på det anvendte itudstyr. Der udføres løbende service på anlægget. Tidspunkt for udførsel af kontrollen Der udføres løbende visuel kontrol af teknik- og serverrum af driftspersonalet.

12 Deloitte 10 Der udføres 1 årlig kontrol/service af brandbekæmpelsesudstyr. Der udføres 1 årlig kontrol/service af UPS og generator. Der udføres 1 årlig kontrol/service af køleanlægget. Hvem udfører kontrollen Kontrollen udføres af leverandører af systemerne. Kontrol dokumentation Alle kontrol-/serviceskemaer forefindes i Sharepoint Styring af kommunikation med Kunder Service desk og Wannafind support Formål Der udføres betryggende brugersupport for brugere, der kontakter Service Desk, herunder at der ydes den aftalte support i de tidsrum og efter de i kontrakten aftalte områder. Anvendte procedurer og kontroller Service desk ens håndtering af de enkelte kunder er baseret på et sæt skriftlige procedurer på de områder, der er aftalt med kunden. Der eksisterer således retningslinjer for hver kunde men hovenparten administreres ens idet kundeaftalerne er indgået på de generelle forretningsbetingelser. Procedurerne udarbejdes af Service Desk i et tæt samarbejde med kunden, samt eventuelt 3. parts leverandører til kunden. Support til bruger sker via , telefon og evt. fjernstyringsværktøjer. Tidspunkt for udførsel af kontrollen Service Desk gennemgår dagligt sager, der afventer løsning, prioriterer disse og følger op på løsning af disse. Hvem udfører kontrollen Kontroller udføres af Service Desk, og uden for normal arbejdstid udføres den af Service Desk forvagten. Kontroldokumentation Dokumentation for henvendelser og udførelse af opgaver for kunderne sker i Wannafinds sagsstyringssystem.

13 Deloitte 11 Incident håndtering Formål Der gennemføres en betryggende Incident håndtering ud fra de indgåede aftaler med kunder, herunder at Wannafind kontrollerer, at dette sker til normal fuldførelse og med forventet resultat. Anvendte procedurer og kontroller Wannafind anvender et sagsstyringssystem til registrering og håndtering af Incidents, og der noteres følgende i sagen: Fejl Hvad der er gjort for afhjælpning af fejl Hvem der har udført opgaver Tidsstempling for hvad tid der er noteret i sagen Tidsregistrering (om det er ifølge driftsaftale eller det skal faktureres) Ledelsen af driftsafdelingen er ansvarlig for overvågning af, at indkomne henvendelser i Service Desk prioriteres og tildeles ressourcer, samt at incident håndtering gennemføres i overensstemmelse med de indgåede kundeaftaler. Tidspunkt for udførsel af kontrollen Incidents håndtering sker inden for de aftalte SLA tider med kunden. Hvem udfører kontrollen Håndteringerne af Incidents udføres af Wannafinds Driftsafdeling, og uden for normal arbejdstid udføres den af bagvagten. Kontrol dokumentation Dokumentation for incidents og udførelse af incidents for kunderne sker i Wannafinds sagsstyringssystem Kayako og Jira Backup Formål Data sikkerhedskopieres og opbevares, så de kan reetableres i overensstemmelse med gældende SLA krav. Wannafind kontrollerer, om backup udføres fejlfrit, og ved fejl i backup, at der udføres en vurdering af fejl og opfølgning på evt. fejlretning.

14 Deloitte 12 Anvendte procedurer og kontroller Der er udarbejdet udførlig beskrivelse af backupprocedure. Backupproceduren er en del af den daglige kørsel og er således automatiseret i systemet. Manuelle rutiner i forbindelse med backup er beskrevet i driftsprocedurerne. Backup opbevares i to kopier, hvor mindst én er fysisk placeret andet steds end produktionsdata. Backup testes løbende, idet backups anvendes til at reetablere kundedata. Tidspunkt for udførsel af kontrollen Der udføres tjek af backuplogs i normal arbejdstid. Hvem udfører kontrollen Driftsafdelingen forestår den daglige kontrol af backuplogs. Kontrol dokumentation Kontrol af fejlede jobs udføres i Wannafinds sagsstyringssystem Drift og overvågning Formål Der udføres proaktiv overvågning af, at aftalte services er tilgængelige, at tilgængelige ressourcer er i overensstemmelse med de aftalte normer/tærskelværdier, og at nødvendige jobs og kørsler, såvel online som batch, afvikles rettidigt og korrekt. Wannafind kontrollerer, at dette sker til normal fuldførelse og med forventet resultat. Anvendte procedurer og kontroller Wannafind har etableret et sæt af skriftlige driftsprocedurer på alle væsentlige driftsaktiviteter, som dels er afstemt med Wannafinds krav og den tilhørende it-sikkerhedspolitik og dels er afstemt kundernes aftaler (generelle forretningsbetingelser). Driftsprocedurerne udarbejdes af Driftsafdelingen i et tæt samarbejde med Wannafind og eventuel 3. parts leverandører. Der foreligger en række jobbeskrivelser for driftsafdelingen, hvor der er fastsat, hvilken overvågning og kontroller der udføres dagligt ugentlig - årligt. Konstaterede fejl i udførte kontroller og eventuelle fejl fra det systemtekniske overvågningssystem korrigeres hurtigst muligt ved hjælp af procedure eller Best practice. Wannafind informeres løbende om omfanget og konsekvenserne af de konstaterede fejl. Følgende funktionsområder har adgang til kundernes it-systemer: Service Desk medarbejdere og Driftsmedarbejder.

15 Deloitte 13 Tidspunkt for udførsel af kontrollen Kontrollen udføres 24/7, eller i primær driftstid, ifølge SLA aftalen med den enkelte kunde. Hvem udfører kontrollen Kontroller udføres af Wannafinds Driftsafdeling, og uden for normal arbejdstid udføres den af forvagten. Kontrol dokumentation Dokumentation for udførelse af dette for kunderne sker i Wannafinds kvartalsvise årlige kvalitetscheck Adgangskontrol Formål Adgang til systemer, data og andre it-ressourcer administreres, vedligeholdes og overvåges i overensstemmelse med de tilsluttede kunders behov. Adgangen deles op i 3 områder: Kundens medarbejder Wannafinds medarbejder 3. parts leverandør Anvendte procedurer og kontroller Det er kundens ansvar at sikre en betryggende adgang til de enkelte systemer, herunder at autentificere eventuel 3. parts leverandør. Wannafinds ansvar er at forestå den tekniske oprettelse ud fra kundernes anvisning. Til dette formål har Wannafind defineret skriftlige retningslinjer. Brugere oprettes på baggrund af skriftlige henvendelser/mail sendt til Wannafinds Driftsafdeling. Det er endvidere kundernes ansvar at meddele Wannafind, når rolletildelingen skal ændres eller fjernes. Rettigheder til interne brugere hos Wannafind oprettes efter de samme principper og godkendes af Driftschefen. For interne medarbejdere er der udarbejdet formelle retningslinjer vedrørende sletning af brugere. Disse sikrer bl.a., at en fratrådt medarbejder ved arbejdsophør hos Wannafind afleverer nøgler og adgangskort, således at der ikke kan opnås fysisk adgang til bygningen og vedkommendes bruger-id spærres for login. Tidspunkt for udførsel af kontrollen For kunder sker det i forbindelse med anmodning fra Wannafind, og når 3. part tilgår Wannafinds system internt sker der kontrol i forbindelse med personaleændringer.

16 Deloitte 14 Hvem udfører kontrollen Driftsafdelingen ved Wannafind har ansvaret for, at adgangsprocedurerne bliver overholdt. Kontroldokumentation Ved behov for adgang fra en 3. part til Wannafinds it-miljø er det Wannafinds it-ansvarlige, der fremsender en godkendelsesmail til Driftsafdelingen. Denne lagres herefter på kundedrevet i Wannafinds Driftsmappe For Wannafinds medarbejdere gemmes brugerskemaer i den enkeltes personalemappe på Direktionsdrevet Anskaffelse og vedligeholdelse af infrastruktur Netværks- og kommunikationssoftware Formål Netværks- og kommunikationssoftware vedligeholdes og supporteres, og ledelsen sikrer, at ændringer eller nyanskaffelser sker i overensstemmelse med behov, samt at ændringer testes og dokumenteres på tilfredsstillende vis. Anvendte procedurer og kontroller Wannafind har fuld dokumentation for netværk og kommunikationslinjer frem til de tilsluttede kunder, hvor der foreligger en aftale omkring drift af Wannafinds netværksudstyr. Wannafind vurderer løbende behov for opdatering af firmware på netværks- og kommunikationssoftware. For at sikre en stabil drift vil der alene ske opdateringer, såfremt det er nødvendigt for at sikre kommunikationen. Inden ændringer foretages, tages backup af konfigurationsfilerne til netværkskomponenter, ligesom udskiftet udstyr beholdes i en karensperiode i tilfælde af, at nyt udstyr ikke fungerer korrekt eller optimalt. Væsentlige ændringer til netværkskonfigurationer foretages inden for de med Kunderne aftalte servicevinduer. Tidspunkt for udførsel af kontrollen Kontrollen udføres i forbindelse med opdatering og ændring. Hvem udfører kontrollen Netværksafdelingen har ansvaret for udførsel af opdateringer samt kontrol af funktionalitet. Kontroldokumentation Der laves dokumentation i Wannafinds sagsstyringssystem omkring opgaver, der er udført på Wannafinds system.

17 Deloitte 15 Systemsoftware Formål Systemsoftware vedligeholdes og supporteres, og ledelsen sikrer, at ændringer eller nyanskaffelser sker i overensstemmelse med virksomhedens behov, samt at ændringer testes og dokumenteres på tilfredsstillende vis. Anvendte procedurer og kontroller For Windows servere indhentes fyldestgørende systemdokumentation efter behov. Wannafind har fastsat procedurer for anskaffelse og opdatering af system software på Windows platformene. På Windows platformen hentes opdateringer fra Microsoft og rulles automatisk på serverne via WSUS. Vurderinger og test sker ved, at der i forbindelse med servicevindue tages stilling til, om der er behov for de frigivne patches og fixes. Herefter testes de på mindre kritiske systemer, inden de rulles på alle systemer. Tidspunkt for udførsel af kontrollen Kontrollen for opdateringer sker via WSUS. Hvem udfører kontrollen Driftsafdelingen er ansvarlig for udførsel af opdateringer og kontrol heraf. Kontrol dokumentation Ud over dokumentation i WSUS fremgår installerede patches på den enkelte server. 3.7 Supplerende information omkring det etablerede kontrolmiljø Forhold, som skal iagtages af kundernes revisorer Levering af serviceydelser Ovenstående systembeskrivelse af kontroller er baseret på Wannafinds standard betingelser. Det bevirker, at indgåede kundeaftaler, som på de leverede serviceydelser er forskellige fra Wannafinds standard betingelserne, ikke er omfattet af nærværende erklæring. Kundernes egne revisorer bør vurdere, om denne erklæring kan anvendes på den konkrete kundeaftale og selv afdække eventulle andre risici, der vurderes som væsentlige for aflæggelse af kundernes årsregnskaber. Brugeradministration Wannafind giver adgang og tildeler rettigheder i overensstemmelse med kundernes instrukser i takt med, at disse bliver indmeldt i Service Desk. Wannafind er ikke ansvarlig for, at disse informationer

18 Deloitte 16 er korrekte, og det er således kundernes eget ansvar at sikre, at de tildelte adgange og rettigheder til systemer og applikationer sker i overensstemmelse med kundernes egen forventninger til en betryggende funktionsadskillelse i de systemmiljøer, som driftes hos Wannafind. Efterlevelse af relevant lovgivning Wannafind har tilrettelagt procedurer og kontroller således, at de områder som er Wannafinds ansvar efterleves betryggende. Wannafind er ikke ansvarlig for applikationer, som afvikles på det hostede udstyr, og som følge af dette omfatter denne erklæring ikke sikkerhed for, at der er etableret betryggende kontroller i brugerapplikationerne, herunder at applikationerne efterlever bogføringsloven, persondataloven eller anden relevant lovgivning.

19 Deloitte Information distribueret af Deloitte 4.1 Introduktion Denne oversigt er udformet med henblik på at informere kunder om de kontroller hos Wannafind, som kan påvirke behandling af regnskabsmæssige transaktioner, og samtidig informere om effektiviteten af de kontroller vi har efterprøvet. Afsnittet, når det kombineres med en forståelse og vurdering af kontrollerne i kundernes forretningsprocesser, har til hensigt at hjælpe kundernes revisor med dels at planlægge revisionen af årsregnskabet, og dels at vurdere risici for fejl i kundernes regnskaber, som muligvis påvirkes af kontroller hos Wannafind. Vores test af Wannafinds kontroller er begrænset til de kontrolmål og relaterede kontroller, som vi har nævnt i nedenstående testskema i denne del af rapporten, og er ikke udvidet til at omfatte alle de kontroller, som måtte fremgå af ledelsens systembeskrivelse, ligesom kontroller udført hos Wannafinds kunder ikke er omfattet af vores erklæring. Sidstnævnte forudsættes gennemgået og vurderet af kundernes egne revisorer. Endelig kan der hos kunderne være etableret kompenserende kontroller, som bevirker, at kontrolsvagheder nævnt i denne rapport minimeres til et revisionsmæssigt acceptabelt niveau. Denne vurdering kan alene foretages af kundernes revisorer. 4.2 Kontrolmiljøelementer Vores test af kontrolmiljøet inkluderede forespørgsler hos relevant ledelse, tilsynsførende og personale, samt inspektion af Wannafind dokumenter og registreringer. Kontrolmiljøet er vurderet mht. at bestemme karakteren, timingen og omfanget af kontrollers effektivitet. 4.3 Test af effektivitet Vores test af kontrollers effektivitet inkluderer de tests, som vi betragter som nødvendige for at evaluere, hvorvidt de udførte kontroller og overholdelsen af disse er tilstrækkelige til at give en høj, men ikke absolut overbevisning om, at de specificerede kontrolmål blev opnået i løbet af perioden til Vores test af kontrollernes effektivitet er udformet til at dække et repræsentativt antal af transaktioner i løbet af perioden til for hver kontrol, jf. nedenfor, som er designet til at opnå de specifikke kontrolmål. I udvælgelsen af specifikke tests har vi overvejet (a) karakteren af de testede områder, (b) typerne af tilgængelig dokumentation, (c) karakteren af revisionsmålene, der skal opnås, (d) det vurderede kontrolrisikoniveau og (e) testens forventede effektivitet.

20 Deloitte Sikkerhed: Kontrolmål og kontrolaktiviteter I nedenstående skema er de testede kontrolmål og kontroller anført, ligesom vi har beskrevet, hvilke revisionshandlinger der er udført og resultatet af disse handlinger. I det omfang vi har konstateret væsentlige kontrolsvagheder, har vi anført dette.

21 Deloitte 19 Kontrolaktivitet Etableret kontrol hos Wannafind Testplan Testresultat Kontrolområde Driftsafvikling (Driftsrutiner og -opgaver administreres hensigtsmæssigt for at understøtte planlægning, udførelse, monitorering og kontinuitet af itprogrammer og processer for nøjagtig, fuldstændig og gyldig behandling og registrering af finansielle transaktioner.) Batch og driftsafvikling Skriftlige procedurer Wannafind anvender faste procedurer i den daglige drift og udarbejde kontrollister med henblik på at dokumentere udførte driftskontroller Driftsovervågning -generelt Der er etableret automatisk overvågning af alle servere og services, og der gives alarmer til driftspersonalet ved fejl Incidenthåndtering Alle kundehenvendelser registreres som en sag i sagsstyringssystemet. Henvendelserne prioriteres og tildeles de personer, som skal behandle sagen. Forløbet af sagen og løsningen dokumenteres i sagsstyringssystemet. Der følges løbende op på sagerne for at sikre, at alle sager bliver behandlet korrekt Kapacitetsovervågning Der er opsat alarmering på hardware og alle væsentlige services (både interne og kundevendte). Der følges op på alle alarmer, og der anvendes realtime overvågning på skærme i driften. Deloitte har vurderet de anvendte driftsprocedurer og planlagte kontroller. Vi har stikprøvevis gennemgået kontrollister og undersøgt, om der er signeret for udført kontrol, og at eventuelle konstaterede fejl er håndteret. Deloitte har vurderet de anvendte procedurer og udførte kontroller. Deloitte har gennemgået stikprøve over alarmer fra driftsmiljøet og kontrolleret, at der på alarmer er gennemført en dokumenteret opfølgning. Deloitte har vurderet de anvendte procedurer og udførte kontroller. Deloitte har stikprøvevis gennemgået indkomne incidents og observeret, at der løbende følges op på disse, og at dette dokumenteres i sagsstyringssystemet. Deloitte har vurderet de anvendte procedurer og udførte kontroller Deloitte har stikprøvevis gennemgået overvågning af driftsmiljøet og kontrolleret, at der for kunders systemer er opsat kapacitetsstyring.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Miracle Hosting A/S. ISAE 3402 Type 2

Miracle Hosting A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle Hosting A/S ISAE 3402

Læs mere

IT Relation A/S. ISAE 3402 Type 2

IT Relation A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk IT Relation A/S ISAE 3402 Type

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring om generelle itkontroller relateret til drifts- og hosting-ydelser i perioden 1. januar 2016 til 31. december 2016 Indholdsfortegnelse Indholdsfortegnelse

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

A/S ScanNet. ISAE 3402 Type 2

A/S ScanNet. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk A/S ScanNet ISAE 3402 Type

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Miracle A/S. ISAE 3402 Type 2

Miracle A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle A/S ISAE 3402 Type

Læs mere

Zitcom A/S. CVR-nr.:

Zitcom A/S. CVR-nr.: CVR-nr.: 29412006 Uafhængig revisors erklæring om generelle it-kontroller hos Zitcom A/S relateret til drifts- og hosting-ydelser i perioden 1. januar 2017 til 31. december 2017 Indhold 1 Serviceleverandørens

Læs mere

ITS (IT-Supportcentret) ISAE 3402 Type 2

ITS (IT-Supportcentret) ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk ITS (IT-Supportcentret) ISAE

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

ISAE 3402 type 2 erklæring om generelle it-kontroller relateret til hostingydelser.

ISAE 3402 type 2 erklæring om generelle it-kontroller relateret til hostingydelser. Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Zitcom A/S ISAE 3402 type 2

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Præsentation af Curanets sikringsmiljø

Præsentation af Curanets sikringsmiljø Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:

Læs mere

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1 SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...

Læs mere

Fonden Center for Autisme CVR-nr.:

Fonden Center for Autisme CVR-nr.: Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataloven og tilhørende bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger med senere ændringer

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

ISAE 3402 Type 2. Uafhængig revisors erklæring. hostingydelser for perioden fra 1. maj 2017 til 30. april 2018

ISAE 3402 Type 2. Uafhængig revisors erklæring. hostingydelser for perioden fra 1. maj 2017 til 30. april 2018 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk C2IT A/S ISAE 3402 Type 2 Uafhængig

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid. Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som

Læs mere

ISAE 3402 type 2-erklæring om generelle it-kontroller relateret til drifts- og hostingydelser.

ISAE 3402 type 2-erklæring om generelle it-kontroller relateret til drifts- og hostingydelser. Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon: 36102030 Fax: 36102040 www.deloitte.dk C2IT A/S ISAE 3402 type 2-erklæring

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Bilag 1 Databehandlerinstruks

Bilag 1 Databehandlerinstruks Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden

Læs mere

DFF-EDB a.m.b.a CVR nr.:

DFF-EDB a.m.b.a CVR nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser. www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors

Læs mere

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer

IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer MARTS 2019 IMS A/S CVR-nummer 25862015 ISAE 3402 TYPE 1 ERKLÆRING Revisors erklæring vedrørende overholdelse af sikkerhedsprocedurer omkring dataudveksling. Rammen for sikkerhedsprocedurer er angivet i

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...

Læs mere

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Business Data A/S Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Version 3.0.1 (senest redigeret 20. november 2014) Indhold 1. Generelt... 2 2. Definitioner...

Læs mere

SLA Service Level Agreement

SLA Service Level Agreement SLA Service Level Agreement Indholdsfortegnelse 1 Service Level Agreement... 1 2 Driftsvindue og oppetid... 1 2.1 Servicevindue... 1 2.1.1 Ekstraordinær service... 1 2.1.2 Patch Management... 1 2.1.3 Åbningstid...

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

A/S ScanNet. ISAE 3402 Type 2

A/S ScanNet. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk A/S ScanNet ISAE 3402 Type

Læs mere

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...

Læs mere

Informationssikkerhedspolitik. for Aalborg Kommune

Informationssikkerhedspolitik. for Aalborg Kommune Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...

Læs mere

Atea A/S CVR-nr

Atea A/S CVR-nr Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36102030 Telefax 36102040 www.deloitte.dk Atea A/S CVR-nr. 25 51 14 84 Indsamlingsregnskab

Læs mere

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Produktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7

Produktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7 Side 1 af 7 Indhold 1 INTRODUKTION TIL CLOUD CONNECT... 3 1.1. CLOUD CONNECT... 3 1.2. VORES SETUP... 3 1.3. LEVERANCEN... 4 1.3.1. Aktiviteter... 4 1.3.2. Forudsætninger for etablering... 4 1.4. KLARMELDINGSDATO...

Læs mere

Lector ApS CVR-nr.:

Lector ApS CVR-nr.: Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesloven (GDPR) pr. 06-07-2018 ISAE 3000-I Lector ApS CVR-nr.: 10 02 16 18 Juli 2018 REVI-IT A/S statsautoriseret

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Databeskyttelsespolitik for DSI Midgård

Databeskyttelsespolitik for DSI Midgård Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

GML-HR A/S CVR-nr.:

GML-HR A/S CVR-nr.: Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret

Læs mere

SOPHIAGÅRD ELMEHØJEN

SOPHIAGÅRD ELMEHØJEN Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko

Læs mere

Timengo DPG A/S CVR-nr

Timengo DPG A/S CVR-nr Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift og vedligeholdelse af DPG-løsningen pr. 16. januar 2019 ISAE 3402, type I Timengo DPG

Læs mere

Vejledning om funktionsbeskrivelse for intern revision

Vejledning om funktionsbeskrivelse for intern revision Vejledning om funktionsbeskrivelse for intern revision Eksempel på funktionsbeskrivelse for intern revision Version 1.0 Indhold Forord... 3 Funktionsbeskrivelse for intern revision... 4 1. Arbejdets formål

Læs mere

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 www.pwc.dk Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 Indhold 1. Ledelsens udtalelse... 3 2. Uafhængig revisors

Læs mere

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer.

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer. Thrane & Thranes bestyrelse har nedsat en revisionskomite. Revisionskomitéen Revisionskomiteens medlemmer er: Morten Eldrup-Jørgensen (formand og uafhængigt medlem med ekspertise inden for blandt andet

Læs mere

Overordnet organisering af personoplysninger

Overordnet organisering af personoplysninger Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer

Læs mere

Holstebro Kommune. Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering. (Vilkår for revisionsopgaven)

Holstebro Kommune. Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering. (Vilkår for revisionsopgaven) Holstebro Kommune CVR-nr. 29 18 99 27 Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering (Vilkår for revisionsopgaven) Holstebro Kommune Revisionsberetning vedrørende

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Produktspecifikationer Virtual Backup Version 1.3. Virtual Backup. Side 1 af 9

Produktspecifikationer Virtual Backup Version 1.3. Virtual Backup. Side 1 af 9 Virtual Side 1 af 9 Indhold 1 INTRODUKTION TIL VIRTUAL BACKUP... 3 1.1. VIRTUAL BACKUP... 3 1.2. VORES SETUP... 3 1.3. LEVERANCEN... 4 1.3.1. Forudsætninger for etablering... 5 1.4. KLARMELDINGSDATO...

Læs mere

A/S SCANNET Service Level Agreement

A/S SCANNET Service Level Agreement A/S SCANNET Service Level Agreement Outsourcing, server og webhosting INDHOLD 1. GENERELT...1 1.1 STANDARDER & DEFINITIONER...1 2. DRIFTSVINDUE & OPPETID...2 2.1 SERVICEVINDUE...2 2.2 EKSTRAORDINÆR SERVICE...2

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Komiteen for Sundhedsoplysning CVR-nr.:

Komiteen for Sundhedsoplysning CVR-nr.: Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) pr. 20-12-2018 ISAE 3000 Komiteen for Sundhedsoplysning CVR-nr.: 14 03 53 38 December

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

BOARD OFFICE white paper

BOARD OFFICE white paper white paper Bestyrelsesportal med sikker administration af alt arbejdsmateriale. Indhold 1. Introduktion... s.3 2. Hosting... s.4 3. Kryptering... s.4 4. Certifikater... s.5 5. Backup... s.5 6. Udvikling...

Læs mere

Greve Kommune. Revision af generelle it-kontroller

Greve Kommune. Revision af generelle it-kontroller Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr. 4 1 37 14 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Dette dokument vil gennemgå de serviceforpligtelser, som leverandøren har til kunden i forbindelse med en købsaftale, forudsat der specifikt er henvist til den korrekte versionering

Læs mere

Bilag 7. Drift. Til Kontrakt. Den Nationale Henvisningsformidling

Bilag 7. Drift. Til Kontrakt. Den Nationale Henvisningsformidling Bilag 7 Drift Til Kontrakt OM Den Nationale Henvisningsformidling Bilag 7 Drift Side 1/5 INSTRUKTION TIL TILBUDSGIVER: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse.

Læs mere

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen Modenhed og sikkerhed hos databehandlere Charlotte Pedersen 28. Januar 2014 Præsentation Charlotte Pedersen Director Cand.scient.pol. ISO27001:2013 Certified ISMS Lead Auditor (IBITG accredited) mv., CIIP,

Læs mere

Safe Work Space service beskrivelse. Microsoft Windows version. Version (Maj 2018)

Safe Work Space service beskrivelse. Microsoft Windows version. Version (Maj 2018) Safe Work Space service beskrivelse Microsoft Windows version. Version 1.0.2 (Maj 2018) 1. Introduktion Dette dokument giver en detaljeret beskrivelse af de services som er indeholdt i Safe Work Space

Læs mere

DFF EDB a.m.b.a. CVR-nr.:

DFF EDB a.m.b.a. CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.

Læs mere

Syddansk Universitet. Institutionsrevisors protokollat om forberedende revisionsarbejder for 2018

Syddansk Universitet. Institutionsrevisors protokollat om forberedende revisionsarbejder for 2018 Syddansk Universitet Institutionsrevisors protokollat om forberedende revisionsarbejder for 2018 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, CVR-nr. 33 7712 31 Strandvejen 44,2900

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Revisionsrapport Revision af generelle it-kontroller 2016

Revisionsrapport Revision af generelle it-kontroller 2016 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Københavns Kommune Koncernservice

Læs mere

Paradigme 2 Regnskaber omfattet af årsregnskabsloven både godkendt revisor og Rigsrevisionen. Standarderne. for offentlig

Paradigme 2 Regnskaber omfattet af årsregnskabsloven både godkendt revisor og Rigsrevisionen. Standarderne. for offentlig Paradigme 2 Regnskaber omfattet af årsregnskabsloven både godkendt revisor og Rigsrevisionen Standarderne for offentlig Vejledning til paradigmet Dette paradigme (paradigme 2) tager udgangspunkt i en situation,

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2013 August 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 15. august 2014 Formål Vi har i perioden

Læs mere

Fælleskøkkenet Elbo I/S. Revisionsprotokollat til årsregnskab 2011

Fælleskøkkenet Elbo I/S. Revisionsprotokollat til årsregnskab 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Arosgaarden, Åboulevarden 31 Postboks 514 8100 Aarhus C Telefon 89 41 41 41 Telefax 89 41 42 43 www.deloitte.dk Fælleskøkkenet Elbo

Læs mere

Overordnet organisering af personoplysninger

Overordnet organisering af personoplysninger Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer

Læs mere

Bilag 6.2 IT-Revision

Bilag 6.2 IT-Revision IT-Revision Bilag 6.2 IT-Revision Version: December 2016 Indhold Indledning... 3 Revisions enhed... 3 Security Governance og revision... 4 Intern revision... 5 Revisionserklæringer fra underleverandører...

Læs mere