Cloud audit og assurance initiativer
|
|
- Joachim Kristiansen
- 8 år siden
- Visninger:
Transkript
1 Cloud audit og assurance initiativer
2 Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade København Ø Publikationen kan hentes på IT- & Telestyrelsens Hjemmeside: eller på digitaliser.dk/resource/ ISBN (internet): Telefon: Fax:
3 Cloud audit og assurance initiativer IT- & Telestyrelsen januar 2011
4 Indhold > Indledning 5 Excecutive summery 6 Hvilke typer audit og assurance information har man adgang til i cloud computing 7 Forskellige typer clouds giver forskellige muligheder 7 Nogle typer audit og assurance information er man selv ansvarlig for at etablere eller konfigurere 10 Cloud audit og assurance initiativer 12 SCAP - Security Content Automation Protocol 13 CloudAudit og Cloud Security Alliance 14 Cloud Trust 17 ENISA Assurance Framework (EAF) 18 ISACA Cloud Computing Management Audit/Assurance program 18 FedRAMP 18 CAMM 19 ACEML (Automatic Compliance Expert Markup Language) 20 Store cloud-leverandører 20 Opsummering 21 Eksempler på tilgængelig audit information fra fire forskellige cloud-leverandører 22 Amazon Web Services 22 Google 24 Salesforce 26 Microsoft 28
5 Indledning > Cloud-løsninger skal kunne revideres, så det løbende kan vurderes, om en cloudleverandørs specifikke løsning er tilstrækkelig sikker til at kunne benyttes til et givent system eller løsning. En cloud-leverandør skal samtidig kunne give tilstrækkelig audit og assurance information til at opfylde både kundernes risikovurdering og eventuelle lovkrav. Denne rapport præsenterer de generelle muligheder for adgang til sikkerhedsdokumentation i Infrastruktur-, Platform- og Software-as-a-Service løsninger. Informationen er primært relevant for Public Clouds, hvor infrastruktur og software er placeret hos en cloud tjenesteudbyder. Private Clouds er under kundens fulde kontrol, og giver derfor kunden de samme muligheder for audit og assurance information som de traditionelle ikke-cloud baserede løsninger. Det kan være vanskeligt for en kunde at vurdere, hvor meget audit information en given leverandør kan stille til rådighed. Det kan også være vanskeligt at vurdere, hvem der har ansvaret for at forskellige typer audit information er tilgængelig. Rapporten introducerer og vurderer derfor en række af de nuværende cloud audit-og assurance initiativer, der vil gøre det lettere at sammenligne mulighederne for adgang til sikkerhedsdokumentation hos forskellige cloud-leverandører. For at kunne vurdere, hvilke muligheder en kunde har på nuværende tidspunkt, introduceres en oversigt over hvilken audit- og assuranceinformation fire specifikke cloud-leverandører, med forskellige typer cloud-løsninger, stiller til rådighed i dag. Da audit og assurance initiativerne ved rapportens udgivelse er i de tidlige faser, er vurderingen af potentialet et øjebliksbillede som hurtigt vil forandres i takt med udviklingen på området. Rapporten vil derfor blive opdateret løbende efter behov. 5
6 Executive summery > Denne rapport belyser mulighederne for adgang til sikkerhedsdokumentation i forskellige typer cloud-løsninger og introducerer en række af de nuværende generelle cloud audit og assurance initiativer. Rapporten kan gøre det nemmere, at foretage en vurdering af, hvorvidt en leverandør tilbyder tilstrækkelig audit og assurance information til at opfylde kundernes risikovurdering og eventuelle lovkrav. Det er i dag muligt at opnå tilstrækkelig information fra en række kvalificerede cloudleverandører til at imødekomme danske behov for audit og assurance. På nuværende tidspunkt kan det dog kræve en række manuelle opgaver fra både kunden og cloudleverandøren. Tilgængelig audit og assurance information En cloud leverandør kan grundlæggende stille tre forskellige typer audit og assurance information til rådighed for deres kunder: 1. Skriftlig dokumentation for procedure, standarder, politikker osv. Tilgængelig leverandørdokumentation, leverandørcertificeringer som ISO 27001, PCI, COBIT, NIST , BS og revisionserklæringer kan ofte give tilstrækkelig information til at vurdere de meget standardiserede og automatiserede cloud-løsninger ud fra. 2. Konfigurationsinfo, dvs oplysninger om standardkonfigurationer og dokumentation for den aktuelle konfiguration af kundens systemer. 3. Løbende log- og monitoreringsinformation. Man skal her være opmærksom på, at forskellige cloud-løsningern giver forskellige muligheder for adgang til konfigurations- og log/monitorieringsinformation. Typen af information som leverandøren kan stille til rådighed vil være afhængig af den type cloud der overvejes (IaaS, PaaS, SaaS). Adgang til audit og assurance information er primært leverandørens ansvar i SaaS-løsninger og et delt ansvar mellem leverandør og kunder i IaaS og PaaS-løsninger. Cloud-specifikke projekter En række projekter arbejder på at mappe cloud-specifikke sikkerhedsspørgsmål til de ovenfor nævnte standardrammeværk. Der arbejdes også på, at identificere cloudspecifikke spørgsmål, så kunder opnår tilstrækkelig viden og dokumentation for de specifikke løsninger uden at skulle opfinde spørgsmålene hver gang. Cloudleverandørerne kan ligeledes besvare og dokumentere de mest almindelige og relevante spørgsmål på forhånd, hvorved deres belastning lettes. For at begrænse de mange manuelle opgaver og processer arbejder flere projekter på at standardisere, og på sigt automatisere, indsamlingen af audit og assurance information. Endelig kan projekter etablere en forhåndsgodkendelse eller forhåndsvurdering af specifikke cloud-løsninger. Målet er, at opnå en løbende overvågning og vurdering af cloud-leverandørens infrastruktur, for at vise at leverandøren overholder egne sikkerhedspolitikker. Området er i hastig udvikling. Dette dokument giver derfor en status på de mest relevante initiativer og et overblik over de nuværende audit og assurancemuligheder hos en række cloud-leverandører. 6
7 Hvilke typer audit og assurance information har man adgang til i cloud computing > En cloud leverandør skal kunne give tilstrækkelig audit og assurance information til at opfylde både kundernes risikovurdering og eventuelle lovkrav. Audit information kan inddeles i information man selv har kontrol over (f.eks. opsætning af applikationslogning på en virtuel maskine), og information som man er afhængig af, at cloud-leverandøren kan - eller vil - stille til rådighed (f.eks. dokumentation for fysiske sikkerhed og underliggende procedurer og system konfigurationer). Forskellige typer clouds giver forskellige muligheder Det er vigtigt at være opmærksom på de forskellige muligheder for adgang til audit og assurance information der naturligt eksisterer indenfor de forskellige typer af cloudtjenester. De tre forskellige typer cloud tjenester Cloud tjenester kan opdeles i tre grundlæggende modeller, opdelingen kaldes også SPI-modellen, hvor SPI refererer til henholdsvis Software, Platform og Infrastruktur som en tjeneste. Software as a Service (SaaS) I SaaS-løsninger får man som kunde adgang til en software løsning, hvor man kan administrere egne brugere og egen data. Man har ikke administratoradgang til operativsystemet eller applikationen som sådan, men kan frit ændre visse funktionaliteter i de applikationer man benytter. Platform as a Service (PaaS) I PaaS-løsninger får man som kunde adgang til et operativ- og databasesystem, hvor man kan installere og administrere egne programmer. Man har ikke administratoradgang til operativsystemet, men kan frit udvikle funktionaliteter (eller tilkøbe) egne applikationer. Infrastructure as a Service (IaaS) I IaaS-løsninger får man som kunde adgang til et virtualiseret miljø, hvor man kan installere og administrere virtuelle maskiner. Man har administratoradgang til egne virtuelle maskiner og kan frit udtrække information fra egne virtuelle maskiner, som om de stod i eget datacenter. Cloud-leverandøren Cloud-leverandøren har som minimum altid ansvaret for hosten (den underliggende fysiske server), hardwaren, netværksenheder og naturligvis de fysiske bygninger. Alle procedurer omkring driften af hardwaren er altid cloud-leverandørens ansvar. Jo mere man bevæger sig fra Infrastruktur over Platform til Software as a Service til Software as a Service, jo flere ting har cloud-leverandøren ansvaret for at både administrere og stille funktionalitet til rådighed for kunderne. 7
8 Forskellige muligheder i de tre forskellige typer tjenester I Infrastructure as a Service har man flere muligheder for selv at opsætte, konfigurere og installere tredjeparts programmer for egne virtuelle servere, f.eks. ved at installere egne overvågningsprogrammer. I Platform as a Service kan man stille krav til hvilke logningsfaciliteter ens egne programmer skal opfylde, hvorimod man i en Software as a Service løsninger er afhængig af de logs og overvågningsfunktionaliteter, som en specifik leverandør stiller til rådighed. Adgang til audit og assurance information er derfor primært leverandørens ansvar i SaaS-løsninger og et delt ansvar mellem leverandør og kunder i IaaS og PaaS-løsninger. En cloud leverandør kan grundlæggende stille tre forskellige typer audit og assurance information til rådighed for deres kunder: 1. Dokumentation for procedure, standarder, politikker osv. 2. Konfigurationsinfo, dvs oplysninger om standardkonfigurationer og dokumentation for aktuel konfiguration af kundens systemer. 3. Løbende log- og monitoreringsinformation. 1. Dokumentation for procedure, standarder, politikker osv. Formelle sikkerhedspolitikker og procedurer ændrer sig sjældent. Har man først verificeret, at der er etableret kameraovervågning i et datacenter, eller at der er etableret en formel procedure for at håndtere brud på sikkerheden, behøver man normalt ikke at checke hver dag om det stadig er tilfældet. Man kan derfor læne sig opad en generel revisionserklæring for cloud-leverandøren, i USA typisk en SAS70 erklæring, og derigennem i det mindste vurdere om erklæringen er tilstrækkelig dækkende. Sammen med en vurdering af eventuelle sikkerhedscertificeringer o.lign. og specifikke uddybende spørgsmål, kan man i mange tilfælde opnå en tilfredsstillende grad af viden om de underliggende procedurer, politikker osv. uden selv at kende dem i detaljer. Forstå hvad der har indgået i vurderingen For at vurdere en SAS70 erklæring eller en ISO 27001/2 certificering er det nødvendigt at vide præcist, hvad der er vurderet, og hvad man erklærer sig om; principielt kan man få lavet en revisionserklæring der verificerer, at man har valgt ikke at have sikkerhedskontroller. De fleste leverandører giver adgang til baggrundsmateriale, ofte imod underskrivelse af en fortrolighedserklæring. I traditionelle hosting- og outsourcingløsninger får mange kunder udført en specifik revisionserklæring for kundens egne systemer hos leverandøren, sammen med den generelle erklæring. It-revisoren verificerer så i den forbindelse om outsourcing- 8
9 leverandøren f.eks. lever op til kontraktens krav, og om leverandørens generelle procedurer følges for kundens systemer. Cloud computing er en standardiseret og automatiseret ydelse I traditionelle hosting- og outsourcingløsninger arbejder navngivne personer direkte på de specifikke kunder-systemer som de er ansvarlige for. Dermed er der en række procedurer og specifikke opgaver der kan revideres. I cloud-løsninger er dette helt anderledes. Som regel er cloud-løsninger standardiserede og de fleste arbejdsopgaver er fuldt automatiserede, det er således ikke udsædvanligt med én administrator for 10-, 20- eller fysiske maskiner. Det giver derfor ikke mening, at revidere alle cloudkundernes systemer individuelt i cloud datacenterne. Hvis man kan opnå tilstrækkelig viden igennem en vurdering af revisionserklæringer, sikkerhedscertificeringer, og evt. supplerede spørgsmål til leverandørerne, er der ikke behov for selv at få foretaget en fysisk inspektion af cloud-datacentret. 2. Konfigurationsinfo (standardkonfigurationer og specifik information for udvalgte systemer) Systemopsætninger ændres nogle gange. En kunde kan f.eks. vælge at ændre på kravene til brugernes passwords i en SaaS-løsning, eller firewall regler kan ændres i forbindelse med test eller omkonfigurationer. Det kan være en god ide jævnligt at foretage et check af, om systemerne er konfigureret som forventet. Og i forbindelse med en gennemgang af sikkerheden kan det være nødvendigt, at dokumentere om de specifikke konfigurationer for et eller alle kundens cloud-systemer er stærke nok. I mange tilfælde er det i dag primært kundens eget ansvar at udtrække dokumentation for opsætningen, men flere initiativer arbejder på at lette arbejdet igennem automatisering af opgaverne. 3. Log og monitoreringsinformation Log og monitoreringsinformation er dynamisk information, der typisk ændrer sig hele tiden. For at kunne afsløre uautoriserede handlinger skal der logges, så man kan opdage og undersøge uønskede forhold. Løbende overvågning skal sikre, at sikringsforanstaltningerne fungerer efter hensigten. Det kan tage tid at opdage og efterforske en potentiel hændelse. Vær opmærksom på hvor længe informationen gemmes og om informationen skal læses online i leverandørens portal, eller om der skal være API er til at udtrække informationen til rådighed. 9
10 Nogle typer audit og assurance information er man selv ansvarlig for at etablere eller konfigurere Figur 3 Delt ansvar mellem leverandør og kunden Cloud-leverandørens ansvar: Uanset hvilken løsning der overvejes, skal cloud-leverandøren altid kunne dokumentere den fysiske sikkerhed, de underliggende politikker, procedurer og konfigurationer, så både kundernes risikovurdering og eventuelle lovkrav opfyldes. For konfiguration- og loginformation er den tilgængelige information afhængig af typen af løsning (IaaS, PaaS, or SaaS) og funktionalitet som den enkelte leverandør tilbyder. Kundens eget ansvar: Vær opmærksom på hvad du som kunde selv er ansvarlig for. I en SaaS-løsning skal man muligvis konfigurere hvad der skal logges, eller sikre at kontrakten beskriver hvor længe logfiler skal gemmes. I en IaaS-løsning skal man selv definere logning i opertivsystemet og de applikationer man installerer, cloud-leverandøren har normalt ikke adgang til at gøre det for en. I praksis er audit og assurance information således tilgængelig fra tre forskellige kilder: Materiale og information som cloud-leverandøren stiller til rådighed, materiale der er udarbejdet af en 3.part, f.eks. revisionserklæringer og leverandørcertificeringer og endelig materiale kunden selv har ansvaret for. 10
11 Figur 4 Audit information er tilgængelig fra flere forskellige kilder 11
12 Cloud audit og assurance initiativer > Der er i dag en stor del manuelle opgaver forbundet med at vurdere sikkerheden i cloud-løsninger. Der skal udtrækkes information og dokumentation fra konsoller, der skal findes information på cloud-leverandørernes portaler, holdes møder med leverandørerne osv. Samtidig skal vurderingerne gentages, med forskellig grad af grundighed, af både cloud-leverandørene og kunderne, hver gang en ny kunde overvejer en ny cloudløsning. En række initiativer arbejder derfor i øjeblikket på at standardisere typen af tilgængelig information og standardisere adgangen til audit og assurance information igennem åbne standarder og igennem formelle krav til cloud-leverandørerne. Initiativerne inddeles i det efterfølgende afsnit i følgende kategorier: Overordnede, ikke cloud specifikke, rammeværk Overordnede rammer som NIST , ISO 27001, PCI, COBIT og FISMA giver en række krav til overordnede sikkerhedskontroller, f.eks. krav som adgangs kontrol, awareness og fysisk sikkerhed. Rammeværkene stiller en række audit-krav, som en kunde potentielt skal kunne verificere finder sted. De amerikanske cloud-leverandører vil ofte benytte NIST som internt rammeværktøj og vil dermed tilpasse deres interne kontroller til projektet, men også ISO og PCI krav er udbredte på nuværende tidspunkt. Rammeværk med cloud fokus Da de overordnede rammeværk er skrevet inden cloud computing blev udbredt, dækker de ikke cloud-specifikke områder og tager ikke stilling til forskellene i IaaS, PaaS og SaaS-løsninger eller de væsentlige forskelle mellem public/private/community/hybrid cloud løsninger. Der er derfor udarbejdet flere rammeværk, der er cloud-specifikke. Typisk indeholder de best practice krav og evt. specifikke spørgsmål en kunde kan stille sin cloudleverandør. Kravene kan være mappet til et eller flere af de overordnede rammeværk og kan have forskellige fokusområder. Fælles er, at rammeværkene kan bruges som udgangspunkt for en vurdering af en specifik cloud-løsning. Automatiseret indsamling af audit og assurance information Andre projekter, som SCAP, fokuserer på at automatisere indsamlingen af audit informationen. Man kan dermed slippe for de mange manuelle processer som kunder og leverandøren skal igennem i dag. Indsamlingen af audit informationen kan potentielt automatiseres på to forskellige måder: On demand audit information, hvor kunden initierer overførslen af information fra leverandøren når informationen er ønsket ( pull ). Løbende overførsel af audit og assurance dokumentation fra leverandøren til kunden ( push ). Det må forventes, at forskellige cloud-leverandører vil tilbyde forskellige typer audit/assurance information, og at de praktiske implementeringer vil være forskellige. 12
13 Nationale certificerings initiativer FedRAMP og CAMM vil bl.a. kunne pre-kvalificere eller certificere specifikke cloud løsninger, så ens egen vurdering af en løsning kan gennemføres hurtigere. CAMM og FedRAMP arbejder ligeledes på at gøre det muligt at sammenligne leverandører direkte, og dermed gøre det væsentligt lettere at vurdere hvilke audit og assurance data der er tilgængelige. SCAP - Security Content Automation Protocol SCAP (Security Content Automation Protocol) er en række standarder og specifikationer fra NIST til standardisering af format og navngivning af rapportering af information om bl.a. specifikke sikkerhedskonfigurationer. Det kunne f.eks. være at Systemet er konfigureret til at kræve et password på mindst 8 tegn eller "Microsoft Windows XP (32-bit) SP2 er installeret. Link: Tilgængeligt materiale: NIST Special Publication (Draft), maj 2010: may2010.pdf Status Deadline for kommentarer til den nuværende version (second public draft SP Revision 1) var 28/ Tidslinien for projektet kan findes her: Projektet videreudvikles aktivt og flere interessenter, herunder Cloud Security Alliance, har meldt ud, at de planlægger at deltage aktivt i udviklingen af projektet da det kan komplimentere automatiseret indsamling af mere overordnet assurance information. 13
14 CloudAudit og Cloud Security Alliance CloudAudit oplyser, at man har over 250 deltagere/interessenter. Projektet har været aktivt siden januar 2010 og afholder ugentlige møder. Alle er velkomne til at deltage i projektet, i praksis sker det ved at deltage i dial-in møder via WebEx, telefonnumre offentliggøres på projektets hjemmeside. CloudAudit blev i oktober 2010 et officielt projekt under non-profit organisationen Cloud Security Alliance (CSA), se Projektet arbejder aktivt med repræsentanter fra alle store cloud-leverandører. På hjemmesiden listes navngivne medlemmer af CloudAudits core team fra bl.a.: SUN, CSC, Akamai, Microsoft, Cisco, VMware, Google, Unisys, Amazon og Rackspace. På nuværende tidspunkt er der god momentum i projektet. Materialet fra CloudAudit indgår i en række andre projekter og igennem Cloud Security Alliance samarbejdes der med bl.a. ENISA og en række andre organisationer. Link: Projektbeskrivelse: Målet er at danne fælles namespace og interfaces med simple åbne protokoller med god autentifikation, til at give standardiseret adgang til Audit, Assertion, Assessment, and Assurance information. Cloud-leverandøren åbner for adgangen til informationen deres kunder, ekstern revision osv. Simple eksempler kan ses på Som eksempel på en kontrol mappet til et overordnet rammeværk, siger sektion i ISO 27001, at revisionskrav og revisionshandlinger i forbindelse med systemer i drift skal planlægges omhyggeligt og aftales med de involverede. Hvis en cloud-leverandør understøtter CloudAudit kan en kunde verificere om informationen er tilgængelig igennem nedenstående eksempel fra GET /.well-known/cloudaudit/service//org/iso/27002/v2005/15/3/1 HTTP/1.1 Host: cloud.example.com HTTP/ OK Content-Length: 822 Content-Type: text/html <html> <body> <head> <title>iso v </title> </head> <H1>Information systems audit controls</h1> <UL> <LI><a href=" Schedule</a> - <i>the 2010 audit schedule for cloud hosting inc.</i> <LI><a href=" LLP Audit Contract</a> - <i>the audit contract with KPWEY for external audit services</i> - <span>the document details the services procured to support the audit plan; see page 14 for specific details.</span> <LI><a href=" Scope</a> - <i>the audit scope for the planned audits in 2010</i> </UL> </body> </html> 14
15 CloudAudit projektet er samlet i CSA s Cloud GRC (Governance, Risk management and Compliance) Stack", der inkluderer CloudAudit, CSA Cloud Controls Matrix og CSA Consensus Assessments, som er beskrevet nedenfor. CSA har overvejet at kombinerer CloudAudit projektet med bl.a. SCAP projektet og lave en samlet automatiseret og standardiseret adgang til omfattende audit og assurance information. SCAP kan give information om konfiguration og sårbarheder mens CloudAudit giver information om f.eks. overholdelse af krav i sikkerhedsstandarder (assertations). På nuværende tidspunkt (december 2010) vil CSA dog overlade udviklingen af selve automatiseringen til andre projekter. CloudAudit standarderne vil dog sandsynligvis indgå som en naturlig del af projekterne. Cloud Controls Matrix: Cloud Security Alliances Controls Matrix (CCM) er et overordnet cloud-security kontrol-rammeværk. Det er lavet for at give en række grundlæggende sikkerhedsprincipper en cloud-leverandør skal kunne opfylde, og samtidig hjælpe cloud-kunder til at kunne vurdere sikkerheden hos en specifik leverandør. Rammeværket er opbygget efter Cloud Security Alliances 13 domæner ( og er mappet til generelle rammeværk som ISO 27001/27002, ISACA COBIT, PCI DSS, HIAA, NIST og FedRAMP. Det planlægges at udvide projektet med andre relevante frameworks, f.eks. CAMM, når de er relevante. Eksempel fra CSA Controls Matrix: Compliance - Independent Audits Control ID: CO-02 Independent reviews and assessments shall be performed at least annually, or at planned intervals, to ensure the organization is compliant with policies, procedures, standards and applicable regulatory requirements (i.e., internal/external audits, certifications, vulnerability and penetration testing) Compliance Mapping: COBIT: 4.1 DS5.5, ME2.5, ME 3.1 PO 9.6 HIPAA: 45 CFR (a)(8), 45 CFR (a)(1)(ii)(D) ISO/IEC : 4.2.3e, 5.1 g, d), 6, A NIST SP R3: NIST SP R3 CA-1, CA-2, CA-6, RA-5 FedRAMP: NIST SP R3 CA-1, CA-2, CA-2 (1), CA-6, RA-5, RA-5 (1), RA-5 (2), RA-5 (3), RA-5 (9), RA-5 (6)PCI DSS v2.0: 11.2, 11.3, 6.6, b BITS: SIG v6.0: L.2, L.4, L.7, L.9, L.11 GAPP: GAPP Ref 1.2.5, 1.2.7, 4.2.1, 8.2.7, ,
16 Fig.6 Cloud Security Alliance Cloud Controls Matrix Consensus Assessment Initiative Questionnaire: Consensus Assessment Initiative Questionnaire (CAIQ) er en spørgeliste i regnearksformat, der giver en række ja/nej spørgsmål, som en kunde eller revisor kan vælge at stille til en Iaas, Paas og SaaS cloud-leverandør. Dokumentet komplimenterer CCM-dokumentet ovenfor og er i praksis et udtræk af hovedområder, best practices og kontroller fra CSA s øvrige dokumenter, og er udarbejdet for at hjælpe organisationer til at kunne vurdere cloud-leverandørenes sikkerhed i praksis. Dokumentet mapper til Kontrol Område og Kontrol ID -kolonnerne i Cloud Controls Matrix dokumentet beskrevet ovenfor. Eksempel fra CAIQ: Compliance - Independent Audits Control ID: CO-02 CO-02a - Do you allow tenants to view your SAS70 Type II/SSAE 16 SOC2/ISAE3402 or similar third party audit reports? CO-02b - Do you conduct network penetration tests of your cloud service infrastructure regularly as prescribed by industry best practices and guidance? CO-02c - Do you conduct application penetration tests of your cloud service infrastructure regularly as prescribed by industry best practices and guidance? CO-02d - Do you conduct internal audits regularly as prescribed by industry best practices and guidance? CO-02e - Do you conduct external audits regularly as prescribed by industry best practices and guidance? CO-02f - Are the results of the network penetration tests available to tenants at their request? CO-02g - Are the results of internal and external audits available to tenants at their request? 16
17 Fig.7 Cloud Security Alliance Cloud Consensus Assessment Questions Tilgængeligt materiale: Materialet kan downloades fra CloudAudit og Cloud Securty Alliance s hjemmesider: CloudAudit 1.0 er sendt til IETF som draft: Cloud Trust CloudTrust var oprindeligt et initiativ iværksat af firmaet CSC, og det oprindelige arbejde er indgået i CloudAudits protokol. Der har over det sidste år været et omfattende samarbejde mellem CSC og Cloud Security Alliance, og det ser i øjeblikket (december 2010) ud til at navnet Cloud Trust samles under Cloud Security Alliance. Projektet er dog endnu ikke officielt annonceret. Cloud Trust har været overvejet som en samlet pakke under Cloud Security Alliance med metode, inklusive protokoller og interfaces, fra bl.a. CloudAudit og SCAP, så en cloud-leverandør løbende kan dele audit og compliance information med deres kunder. På nuværende tidspunkt ser det dog ud til, at Cloud Security Alliance overlader organiseringen af indsamling af den løbende, automatiserede indsamling af audit data til andre projekter. Se for mere information. 17
18 ENISA Assurance Framework (EAF) EU organisationen ENISA (European Network and Information Security Agency) udgav i 2009 et cloud computing assurance framework og udgiver en rapport om brug af cloud computing i det offentlige. ENISA er også aktiv i CAMM-projektet nedenfor og det må forventes, at CAMM på sigt overtager EAF s rolle. Link: ISACA Cloud Computing Management Audit/Assurance program Organisationen ISACA (Information Systems Audit and Control Association) arbejder med IT Governance. ISACA s audit/assurance program er et værktøj der kan benyttes som roadmap og template til gennemførsel af en revision af en cloud-leverandør, eller en revision af en virksomheds brug af en specifik cloud-løsning. Rammen beskriver en række opgaver der kan udføres i en it-revision, best practices og krav til compliance, men er ikke tænkt som en checkliste eller et spørgeskema. Tilgængeligt material: Materialet kan downloades gratis for medlemmer af ISACA eller købes igennem Center/Research/ResearchDeliverables/Pages/Cloud-Computing-Management-Audit- Assurance-Program.aspx De store revisonsfirmaer udvikler deres egne cloud-revisionsmaterialer, men det er sandsynligt at ISACA materiale vil påvirke mange interne og eksterne it-revisorer. Det er derfor sandsynligt, at materialet vil påvirke de typer information cloudleverandørerne vil stille til rådighed. ISACA vil dog komme til at opdatere deres materiale efterhånden som CloudAudit og andre projekter udvikles. FedRAMP FedRAMP (Federal Risk and Authorization Management Program) er etableret som en standardiseret tilgang for amerikanske offentlige myndigheder, til at vurdere cloud tjenester og cloud produkter. Tanken er, at en cloud-leverandør formelt forhåndsgodkendes én gang af FedRAMP fra centralt hold, hvorefter alle offentlige amerikanske virksomheder kan benytte tjenesten, uden at skulle gentage den samme sikkerhedsgennemgang hver gang. FedRAMP projektet vil beskrive sikkerhedskrav, der dækker alle offentlige myndigheder i USA, herunder krav til cloud-leverandørene om løbende overvågning 18
19 og rapportering af sikkerhedsstatus til FedRAMP. Cloud-leverandører vil her kunne benytte projekter som CloudAudit til at levere den krævede information. Link: Program-FedRAMP Status: Der arbejdes i øjeblikket (december 2010) intensivt på at udvikle FedRAMP. Den første version blev mødt af en del kritik, herunder at den var for fokuseret på SaaS-løsninger, og det må forventes, at de kommende versioner vil være væsentlig anderledes end den nuværende. Det må forventes, at alle amerikanske cloud-leverandører vil arbejde imod en prekvalifikation fra FedRAMP. Eksempler på diskussion og kritik af første version: CAMM CAMM (Common Assurance Maturity Model) er et samarbejde med deltagelse af bl.a. ENISA og Cloud Security Alliance. Målet er, at etablere en ramme, med en række spørgsmål en potentiel kunde kan stille til en cloud-leverandør. CAMM refererer til bl.a. ISO og COBIT, dvs eksisterende certifikationer kan genbruges. Kontroller i CAMM er ligeledes mappet til de mest kendte cloud frameworks, som CloudAudit. Europæiske ENISA planlægger bl.a. at bruge CAMM, som det amerikanske FedRAMP projekt, til at harmoniserer offentlige organisationers krav til cloudleverandørerne. Tilgængeligt materiale: Projektets hjemmeside: Roadmap: ENISA planlægger at frigive første version af CAMM i Q1 2011, sammen med en opfølgende rapport om cloud computing. Det må forventes, at projektet, med stor involvering af bl.a. ENISA og Cloud Security Alliance, bliver et de vigtige projekter i Europa. 19
20 ACEML (Automatic Compliance Expert Markup Language) ACEML er et projekt under Open Group. Projektets egen beskrivelse: Standarden for Automated Compliance Expert Markup Language (ACEML) skal gøre det muligt for virksomheder at automatisere security compliance for deres systemer på en konsistent måde så der opnås compliance med applicable regulations sammen med store besparelser. IT-revisorer vil kunne udføre konsistente og mere komplette revisioner på kortere tid og til lavere pris. Link: Offentliggjort materiale: Draft: l_crdraft.doc (kræver tilmelding) Status: Projektet har været sendt til review som draft standard til 28. September Efter gennemgang af ændringsforslag sendes standarden til Open Groups Board of Governors for godkendelse til at offentliggøre ACEML som en Open Group teknisk standart. ACEML har fået mindre opmærksomhed end en række af de øvrige initiativer og det anses i øjeblikket mindre sandsynligt, at ACEML vil opnå udbredelse blandt de store cloud-leverandører. Store cloud-leverandører De store cloud-leverandører, som Microsoft, Amazon og Google, tilbyder i dag alle forskellige muligheder for adgang til audit og assurance information, herunder logdata. De store leverandørers særlige interfaces, protokoller eller nye typer assurance data kan blive de facto standarder blandt andre cloud-leverandører. 20
Cloud audit og assurance initiativer
Cloud audit og assurance initiativer Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Publikationen kan hentes på IT- & Telestyrelsens Hjemmeside: http://www.itst.dk
Læs mereCloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab
Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Carsten Jørgensen 7 marts 2012 Carsten Jørgensen 1999 2001 2006 2009 2011 CloudSecurity.dk Falck 2012 Falck 2011 Emergency Assistance Healthcare
Læs mereRevision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018
Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018 Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør,
Læs mereHYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact
HYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact More than 3500 projects In control of 55 petabyte data 450 certified consultants More than 1.5M euro in training per year 55 PB,
Læs mereBusiness Continuity og Cloud
Business Continuity og Cloud af: Michael Christensen, Certified Business Continuity and IT-security Consultant, CISSP, CSSLP, CISM, CRISC, CCM, CPSA, ISTQB, PRINCE2, COBIT5 For rigtig mange danske virksomheder
Læs mereBilag 6.2 IT-Revision
IT-Revision Bilag 6.2 IT-Revision Version: December 2016 Indhold Indledning... 3 Revisions enhed... 3 Security Governance og revision... 4 Intern revision... 5 Revisionserklæringer fra underleverandører...
Læs mereSikkerhed i cloud computing
Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter
Læs mereStandardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners
Standardiseret tilgang til Software Asset Management ISO19770 ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners 1 WG21 historien ISO19770 arbejder i WG21 under ISO Etableret i 2001 Første standard 19770-1
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereMicroservices. Hvad er det og hvordan kommer du i gang?
Microservices Hvad er det og hvordan kommer du i gang? Introduktion til Microservices Softwareudvikling Historie Softwarearkitektur Mentoring 10 konsulenter Bezos befaling All teams will henceforth expose
Læs mereMicusto Cloud v2. Micusto Cloud er et fleksibelt, brugervenligt cloudsystem til CMS er, webshop- og intranetsystemer.
Micusto Cloud er et fleksibelt, brugervenligt cloudsystem til CMS er, webshop- og intranetsystemer. Indhold Hvad er Målgruppe Fordele Teknisk setup Features Hvad er Micusto Cloud er udviklet af DCmedia
Læs mereDriftsudkast. OS2faktor
Driftsudkast OS2faktor 1 Terminologi I dette aftaledokument har nedenstående ord følgende betydning. Leverandøren Kunden Løsningen betegner Digital Identity betegner OS2 fællesskabet omkring OS2faktor
Læs mereSpillemyndighedens certificeringsprogram. Retningslinjer for sårbarhedsscanning SCP.05.00.DK.1.0
SCP.05.00.DK.1.0 Indhold Indhold... 2 1 Formålet med retningslinjer for sårbarhedsscanning... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...
Læs mereHvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk
Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.
Læs mereSecurity as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013
Security as a Service hvorfor, hvornår og hvordan Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013 SecaaS hvorfor, hvornår og hvordan hvad Hvorfor.. Hvornår.. Hvordan.. Disclamer: Dubex er MSSP og leverer
Læs mereKLAR, PARAT, CLOUD? 27. september 2018
KLAR, PARAT, CLOUD? 27. september 2018 CENTRALE BEGREBER OG SERVICES Private cloud on premise Et datacenter hos en leverandør. Eventuelt bundet sammen med et backup datacenter hos den samme leverandør
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereCloud i brug. Migrering af Digitalisér.dk til cloud computing infrastruktur
Cloud i brug Migrering af Digitalisér.dk til cloud computing infrastruktur 02 Indhold > Executive Summary............................................................... 03 Digitaliser.dk.....................................................................
Læs mereLars Neupart Director GRC Stifter, Neupart
PROCESSER FOR BEVISSIKRING I ET ISO 27000 PERSPEKTIV. Lars Neupart Director GRC Stifter, Neupart LNP@kmd.dk @neupart Om Neupart (nu KMD) KMD s GRC afdeling: Udvikler og sælger SecureAware : En komplet
Læs mereTest af Cloud-baserede løsninger DSTB Ole Chr. Hansen Managing Consultant
Test af Cloud-baserede løsninger DSTB - 2016 Ole Chr. Hansen Managing Consultant Præsentation Ole Chr. Hansen Managing Consultant Fellow SogetiLABS Global Innovation Team Blog - http://ochansen.blogspot.com
Læs mereHvad er cloud computing?
Hvad er cloud computing? Carsten Jørgensen cjo@devoteam.dk Devoteam Consulting COPYRIGHT 11/05/2010 Architecture & Information Simplificering af it og effektiv it til forretningen Business Intelligence
Læs mereKursus: Ledelse af it- sikkerhed
Kursus: Ledelse af it- sikkerhed Neupart tilbyder en kursusrække, som vil sætte dig i stand til at arbejde struktureret efter best practice og de internationale standarder for informationssikkerhed. Alle
Læs mereCloud Computing i GxP miljø
Cloud in GxP Velkommen Velkommen til foredraget Cloud Computing i GxP miljø Christian Stage Stage One Computing A/S 2012.06.20 Cloud in GxP Om... Christian Stage fra Stage One Computing A/S Ingeniørmæssig
Læs mereProces til vurdering af cloud løsning og risici
Proces til vurdering af cloud løsning og risici John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016 Agenda 1. Definition af Cloud 2. Inspiration til procestrin 3. Indledende betragtninger
Læs mereSpillemyndighedens krav til akkrediterede testvirksomheder. Version 1.3.0 af 1. juli 2012
Version 1.3.0 af 1. juli 2012 Indhold 1 Indledning... 4 1.1 Myndighed... 4 1.2 Formål... 4 1.3 Målgruppe... 4 1.4 Version... 4 1.5 Henvendelser... 4 2 Certificering... 5 2.1 Rammer for certificering...
Læs mereIdentity Access Management
Identity Access Management Traditionel tilgang til Identity & Access Governance-projekter, udfordringer og muligheder Alex Sinvani ais@dubex.dk Dubex A/S Formålet Opbygge en god konceptuel baggrund for
Læs merePID2000 Archive Service
PROLON CONTROL SYSTEMS Herstedvesterstræde 56 DK-2620 Albertslund Danmark Tlf.: (+45) 43620625 Fax: (+45) 43623125 PID2000 Archive Service Bruger vejledning Juni 2002 Denne manual beskriver brugen af softwaren
Læs mereAlex Ø. T. Hansen UDDANNELSE PERSONLIGHED ERFARING TEKNOLOGIER. IT-Konsulent. System Administrator
PERSONLIGHED Et par sten på vejen ser jeg som en god udfordring. Jeg er en god teamplayer altid positiv og i godt humør. Jeg siges at være loyal og behagelig. Med mere end 10 års erfaring har jeg opbygget
Læs mereITEK og Dansk Industris vejledning om betalingskortsikkerhed
ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary
Læs mereNemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen
NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil
Læs mereMicrosoft Pinpoint Guide
Microsoft Pinpoint Guide Indhold: 01 Kom på Pinpoint Opret en ny profil Rediger din profil 02 Opret en annonce 03 Brug dit dashboard 04 Optimer din Pinpoint profil Kundevurderinger 05 Søgning på Pinpoint
Læs mere22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk
DIAS 1 Infrastructure Optimization Greve Kommune Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk Agenda DIAS 2 _ Formål med IO _ Gennemgang af IO modellen _ IO analyse hos Greve Kommune _ Opsummering
Læs mereEU S PERSONDATAFORORDNING & CLOUD COMPUTING
EU S PERSONDATAFORORDNING & CLOUD COMPUTING Kan man ifølge EU s Persondataforordning bruge Cloud Computing til personhenførbare data? JA, naturligvis forordningen afgør ikke, hvilken arkitektur eller teknologi,
Læs mereEasyIQ ConnectAnywhere Release note
EasyIQ ConnectAnywhere Release note Version 2.4 Der er over det sidste år lavet en lang række forbedringer, tiltag og fejlrettelser. Ændringer til forudsætningerne: o Klienten skal ved førstegangs login
Læs mereVelkommen VI BYGGER DANMARK MED IT
Velkommen VI BYGGER DANMARK MED IT Som specialister i itinfrastruktur vil vi være med til at forme et endnu bedre Danmark. Sammen med vores kunder vil vi udvikle løsninger, som næste generation kan være
Læs mereCisco Cloud Networking. Cisco Meraki - En ny måde at lave netværk på Morten Rundager Solutions Specialist Cisco Danmark 29/10 2015
Cisco Cloud Networking Cisco Meraki - En ny måde at lave netværk på Morten Rundager Solutions Specialist Cisco Danmark 29/10 2015 Cisco Meraki MR Wireless LAN Cisco Meraki MX Security Appliances Cisco
Læs mereProjektopgave Operativsystemer I
Velkommen til projekt på Data faget 6222 Operativsystemer I! Udarbejdet af: Anders Dahl Valgreen, mail adva@mercantec.dk, mobil 23 43 41 30 I dette projekt skal din gruppe i tæt samarbejde med resten af
Læs mereSecureAware Compliance Analysis Manual
SecureAware Compliance Analysis Manual Manualen beskriver brugen af SecureAware version 3 Dokument opdateret: november 2009 Om dette dokument Dette dokument er en vejledning i, hvordan du opretter compliance-checks.
Læs mereIndholdsfortegnelse 2. ITIL Foundation 4 Indhold 4 Forudsætninger 4 Undervisning 4
Indholdsfortegnelse Indholdsfortegnelse 2 ITIL Foundation 4 Indhold 4 Forudsætninger 4 Undervisning 4 ServiceNow Fundamentals (tidl. System Administrator) 7 Indhold 7 Forudsætninger 7 Undervisning 7 Pris
Læs mereKursus-introduktion. IT Sikkerhed Efterår 2012 04/09/2012 ITU 0.1
Kursus-introduktion IT Sikkerhed Efterår 2012 04/09/2012 ITU 0.1 Praktiske bemærkninger Kurset T6 (12 undervisningsuger): Forelæsninger (Lokale 4A22), Tirsdag 8:00 9:50 Øvelser (Lokale 4A54, 4A56), Tirsdag
Læs mereGIS Is Advancing Rapidly Integrating and Leveraging Many Innovations
GIS Is Advancing Rapidly Integrating and Leveraging Many Innovations Data Computing Infrastructure GIS Innovation Open APIs Expanding the Power of GIS Dagsorden ArcGIS er en omfattende platform Apps ArcGIS
Læs mereVEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing
VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden
Læs mereHosted CRM Outlook client connector setup guide. Date: Version: 1. Author: anb. Target Level: Customer. Target Audience: End User
Hosted CRM 2011 Outlook client connector setup guide Date: 2011-06-29 Version: 1 Author: anb Target Level: Customer Target Audience: End User Language: da-dk Page 1 of 16 LEGAL INFORMATION Copyright 2011
Læs merepage 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE
page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity page 2 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Erik Meldgaard Director IT page 3 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Vores brugere Vores kontorer
Læs mereSecurity & Risk Management Summit 2016
Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere: skal Compliance og risikostyring John Wiingaard, Senior GRC-konsulent/BSI-Exam. ISO27001 Lead Implementor,
Læs mereMOC On-Demand Identity with Windows Server 2016 [20742]
E-learning 90 dage DKK 7.999 Nr. 89067 P ekskl. moms Dato Sted 29-12-2019 Virtuelt kursus MOC On-Demand Identity with Windows Server 2016 [20742] Online undervisning når det passer dig MOC On-Demand er
Læs mereKonference om Cloud Computing 18. maj 2011. Proof of Concept for transition til Cloud Lars Ravndrup Thomsen, Solutions Architect, KMD
Konference om Cloud Computing 18. maj 2011 Proof of Concept for transition til Cloud Lars Ravndrup Thomsen, Solutions Architect, KMD POC, hvad er det? En søgning på internettet viser, at de fleste sites
Læs mereCivilstyrelsen. Lex Dania editor 2010. Installationsvejledning. Version: 1.0 2012-03-09
Installationsvejledning Version: 1.0 2012-03-09 Indhold 1 INDLEDNING... 3 1.1 HVAD ER LEX DANIA EDITOR 2010?... 3 1.2 FORUDSÆTNINGER FOR ANVENDELSE... 3 1.2.1 Hardware... 3 1.2.2 Software... 3 1.3 DISTRIBUTION
Læs mereTilbudsmateriale: Udvidelse af eksisterende serverplatform.
2. januar 2012 Tilbudsmateriale: Udvidelse af eksisterende serverplatform. 1. Introduktion Dette tilbudsmateriale er annonceret på Syddjurs Kommunes hjemmeside iht. Bekendtgørelsen af lov om indhentning
Læs mereOpsætning af klient til Hosted CRM
Opsætning af klient til Hosted CRM Dette dokument beskriver, hvordan der oprettes forbindelse til en Hosted CRM løsning hos TDC Hosting A/S Morten Skovgaard, 24. april 2006 1 Indledning... 2 2 Konfiguration
Læs mereIT Infrastruktur. Nu en broget affære? KENN BACH THOMSEN KEYACCOUNT MANAGER BFIH CERTIFICERET IT-HOSTING PARTNER ÅRETS HOSTING PARTNER HOS MICROSOFT
IT Infrastruktur Nu en broget affære? KENN BACH THOMSEN KEYACCOUNT MANAGER 1 ÅRETS HOSTING PARTNER HOS MICROSOFT 31-01-2014 Lidt om min baggrund 2000: Telefonsupport hos Symantec i Holland 2000-2003: Webmaster
Læs mereCloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014
Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)
Læs mereCloud Computing De juridiske aspekter
Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed
Læs mereGDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018
www.pwc.dk Claus Hartmann Lund september 2018 Revision. Skat. Rådgivning. Hvad kan jeg gøre? Den dataansvarlige: Drøft behandling af persondata identificér behov for erklæring fra eksterne databehandlere
Læs mereSAS USER FORUM DENMARK 2017 USER FORUM. Rune Nordtorp
SAS USER FORUM USER FORUM Rune Nordtorp Agenda Logning Audit logning Og hvorfor er det lige pludselig blevet vigtigt Logning i SAS -platformen Ressource Inventory Model Introduktion til opsætning af logning
Læs mereEverything-as-a-Service. Afdelingsdirektør, Poul Bærentsen
Everything-as-a-Service Afdelingsdirektør, Poul Bærentsen Agenda Atea s rejse Hvorfor ændrer IT sig til services? as-a-service tilgangen Den fremtidige it-leverance Markedstrends Atea EaaS vi skaber overblikket
Læs mereMindstekrav til udstyr (fase 1) Løsningsbeskrivelse
Mindstekrav til udstyr (fase 1) Løsningsbeskrivelse Indholdsfortegnelse 3.1 INDLEDNING 2 3.2 MINDSTEKRAV TIL SLUTBRUGERNES KLIENTER MV 2 3.2.1 Mindstekrav til hardware for PC-klienter 2 3.2.2 Mindstekrav
Læs mereNemRolle. KOMBIT adgangsstyring med sikkerhed og overblik. Beskrivelse af funktioner og anvendelse
NemRolle KOMBIT adgangsstyring med sikkerhed og overblik Beskrivelse af funktioner og anvendelse NemRolle KOMBIT adgangsstyring med sikkerhed og overblik NemRolle er en samlet, komplet løsning til administration
Læs mereVejledning til brug af Bank RA Revisionsinstruks
Vejledning til brug af Bank RA Revisionsinstruks 1-7 Indholdsfortegnelse Indledning... 3 Formål... 3 Scope for RA-revisionen... 3 Særlige forhold for banker der benytter Nets DanID API et... 3 Kontroller
Læs mereEn tur rundt om skyen:
En tur rundt om skyen: Hvor skal vi hen? Bjarne B. Dollerup, Evangelist Jens, IT Chef Større dansk virksomhed Jens har et par spørgsmål om skyen Hva er det der mæ skyen? Og hva ka jeg bruge den til? Og
Læs mereHELLO INSTALLATIONS GUIDE - DANSK RACKPEOPLE
HELLO INSTALLATIONS GUIDE - DANSK RACKPEOPLE 1 Tekniske Krav 1.1 Hardware krav: En skærm gerne med touch Hvis skærmen ikke har touch, skal du bruge et tastatur og en mus Webcam Gerne i HD En ekstern lydenhed
Læs mereRoadshow: ITIL V3 hvordan træder man ud af børneskoene?
Roadshow: ITIL V3 hvordan træder man ud af børneskoene? Westergaard Management A/S Stifter Ole Westegaard Adm. Direktør Steen Sverker Nilsson Direktør Johnny Jensen Westergaard Management stiftedes den
Læs mereLEVERANCE 1.3. Model for kvalitetssikring
LEVERANCE 1.3 Model for kvalitetssikring Udarbejdelse af kvalitetssikringsmodel, krav til open source kode og dokumentation og godkendelsesprocedurer m.v. Samt fokus på understøttelse af CE-mærkning. 1
Læs merePHP Quick Teknisk Ordbog
PHP Quick Teknisk Ordbog Af Daniel Pedersen PHP Quick Teknisk Ordbog 1 Indhold De mest brugte tekniske udtryk benyttet inden for web udvikling. Du vil kunne slå de enkelte ord op og læse om hvad de betyder,
Læs mereDatatekniker med infrastruktur som speciale
Datatekniker med infrastruktur som speciale H3 infrastruktur indledning H3 varer ni uger. Alle fag er uddannelsesspecifikke fag. Opbygning Alle fag i hovedforløbet afvikles i selvstændige moduler. Eventuelle
Læs mereInstallationsguide IBM Tivoli Storage Manager for Databases Data Protection for Microsoft SQL Server
Installationsguide IBM Tivoli Storage Manager for Databases Data Protection for Microsoft SQL Server Side 1 af 20 INSTALLATIONSGUIDE 1 1 FORORD 3 2 OPRET NODEN I NETGROUP PORTAL. 4 3 KLIENTSOFTWARE 5 3.1
Læs mereCivilstyrelsen. Lex Dania editor Eunomia. Installationsvejledning. Version: 2.0 2015-02-02
Installationsvejledning Version: 2.0 2015-02-02 Indhold 1 INDLEDNING... 3 1.1 HVAD ER LEX DANIA EDITOR EUNOMIA?... 3 1.2 FORUDSÆTNINGER FOR ANVENDELSE... 3 1.2.1 Hardware... 3 1.2.2 Software... 3 1.3 DISTRIBUTION
Læs mereSikker udstilling af data
Sikker udstilling af data Digitaliseringsstyrelsen 8. oktober 2012 Thomas Gundel Agenda Baggrund hvorfor udstille data? OWSA Model T Identitetsbaserede Web Services NemLog-in s fuldmagtsløsning OAuth 2.0
Læs mereRÅDET FOR DIGITAL SIKKERHED
RÅDET FOR DIGITAL SIKKERHED Retsudvalget 2014-15 REU Alm.del Bilag 21 Offentligt Retsudvalgets høring om myndigheders behandling af personoplysninger Sikkerheden i den outsourcede it-drift Christiansborg,
Læs mereErfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)
Erfaringer fra innføring av ISO 27001 i danske kommuner (styringssystem for informasjonssikkerhet) Lars Neupart S,-er, Direktør i Neupart A/S LN@neupart.com twi
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereSikkerhedspolitik Version 3.1003 d. 3. oktober 2013
Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken
Læs mereVDI AARHUS UNIVERSITET VER 1.5 VDI 30. APRIL
VER 1.5 30. APRIL FORBINDELSE TIL S Hvad er (Virtual Desktop Infrastructure)? Er en virtuel maskine som ligger på en server Styring og vedligeholdes administreres centralt Forbedret sikkerhed og data-opbevaring
Læs mereHosted CRM Outlook client connector setup guide. Date: Version: 1. Author: anb. Target Level: Customer. Target Audience: End User
Hosted CRM 2011 Outlook client connector setup guide Date: 2011-09-08 Version: 1 Author: anb Target Level: Customer Target Audience: End User Language: da-dk Page 1 of 19 LEGAL INFORMATION Copyright 2011
Læs mereSikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded
Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering
Læs mere28 August 2015. Data privacy i SAP Lyngby 27/8 2015
28 August 2015 Data privacy i SAP Lyngby 27/8 2015 Agenda Om 2BM - Compliance Sikker håndtering af person data i SAP 1. Revisorerklæring for håndtering af personfølsomme data 2. Personfølsomme data definition
Læs merespørgsmål til CATIA 3DEXPERIENCE on the Cloud
30 spørgsmål til CATIA 3DEXPERIENCE on the Cloud 1) Hvad er CATIA 3DEXPERIENCE on the Cloud? Dassault Systèmes har investeret betydelige ressourcer i at udvikle en Cloud platform til Product Lifecycle
Læs mereMorten Rønborg PERSONLIGHED UDDANNELSE TEKNOLOGIER ERFARING. IT-Konsulent. Desktop Engineer
PERSONLIGHED Jeg er ambitiøs og har en høj arbejdsmoral, sætter pris på udfordringer og løser mine opgaver med stort engagement. Igennem de forskellige opgaver jeg har varetaget er jeg blevet god til at
Læs mereFjernopkobling. - Vejledning i førstegangs fjernopkobling via en IKKE. Banedanmark pc
Fjernopkobling - Vejledning i førstegangs fjernopkobling via en IKKE Banedanmark pc 1 Installation af software til adgangsportal (gælder ikke brugere, der anvender en Banedanmark pc, eller brugere, der
Læs mereProjektoplæg - AMU kursus 44953 - Netteknik - Server - Videregående
Velkommen til projektforløbet på Netteknik - Server - Videregående! Udarbejdet af: Anders Dahl Valgreen, mail adva@mercantec.dk, mobil 23 43 41 30 I dette projekt skal din gruppe i tæt samarbejde med resten
Læs mereSikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005
Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...
Læs mereApp-administration til ios. VMware Workspace ONE UEM 1904
App-administration til ios VMware Workspace ONE UEM 1904 Du kan finde den nyeste tekniske dokumentation på VMwares website på: https://docs.vmware.com/da/ VMwares website indeholder også de seneste opdateringer.
Læs mereUnderbilag 2.24 Kommunernes it-miljø Kommunernes Ydelsessystem
Underbilag 2.24 Kommunernes it-miljø Kommunernes Ydelsessystem Indholdsfortegnelse 1 Indledning... 3 2 Sagsbehandling Klientmiljø... 3 2.1 Operativsystem... 3 2.2 Browser... 5 2.3 Runtime Miljøer... 6
Læs mereOne Step Ahead 2011: Fremsyn
One Step Ahead 2011: Fremsyn 2 ONE STEP AHEAD 14. og 15. marts 2011 Infrastruktur Cloud Lars Nygaard, divisionschef Server & Cloud Microsoft Danmark ONE STEP AHEAD 14. og 15. marts 2011 Hvad er cloud?
Læs mere10. Rapporter i BBR... 2
Indholdsfortegnelse 10. Rapporter i BBR... 2 10.1 Reporting Services arkitektur...2 10.2 Reporting Services i Nyt BBR...3 10.3 Faste BBR rapporter...4 10.4 Selvgenerede BBR rapporter...5 10.5 BBR-Meddelelser...5
Læs mereMOC On-Demand Administering System Center Configuration Manager [ ]
E-learning 90 dage DKK 7.999 Nr. 90111 P ekskl. moms Dato Sted 29-12-2019 Virtuelt kursus MOC On-Demand Administering System Center Configuration Manager [20703-1] Online undervisning når det passer dig
Læs mereIntroduktion OBS: Forberedelse
Product: Cameras, NVRs, DVRs Page: 1 of 17 Introduktion Hik-Connect er en ny service introduceret af Hikvision, som integrerer det dynamiske Domain Name Service sammen med alarm push notifikation service.
Læs mereWINDCHILL THE NEXT STEPS
WINDCHILL THE NEXT STEPS PTC/user, 4. marts 2015 Jens Christian Jensen, Econocap Agenda Windchill the next steps Bliv opdateret og inspireret til at se hvor Windchill kan hjælpe dig med andet end blot
Læs mereManaging Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen, 30.10.2012
Managing Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen, 30.10.2012 Headline are written here in one line Section title (Arial Regular, 24/26 pt) Second section title Third section title
Læs mereTelefon Allerød
Nyheder i Microsoft Dynamics NAV 2016 Microsoft har frigivet Microsoft Dynamics NAV 2016 den 5. oktober 2015. Den nye version rummer både ny funktionalitet og forbedringer. I dette factsheet nævner vi
Læs mereProduktspecifikationer Private Cloud Version 2.5
Side 1 af 11 1. INTRODUKTION TIL PRIVATE CLOUD... 3 2. TEKNISK OPBYGNING... 4 2.1. LØSNINGEN... 4 2.2. SPECIFIKATIONER... 4 2.3. BLADE-SERVERNE... 5 2.4. NETVÆRK... 5 2.5. SAN-INFRASTRUKTUR... 5 2.6. VCENTER...
Læs mereBusiness casen ved implementering af Log Management. Claus Løppenthien, cll@dubex.dk Hotel Vejlefjord, 21. maj 2015
Business casen ved implementering af Log Management Claus Løppenthien, cll@dubex.dk Hotel Vejlefjord, 21. maj 2015 DUBEX SECURITY & RISK MANAGEMENT UPDATE 2015 Overvågning - udfordringen med logning Server
Læs mereSafe Work Space service beskrivelse. Microsoft Windows version. Version (Maj 2018)
Safe Work Space service beskrivelse Microsoft Windows version. Version 1.0.2 (Maj 2018) 1. Introduktion Dette dokument giver en detaljeret beskrivelse af de services som er indeholdt i Safe Work Space
Læs mereOpsætning af MobilePBX med Kalenderdatabase
Opsætning af MobilePBX med Kalenderdatabase Dette dokument beskriver hvorledes der installeres Symprex Exchange Connector og SQL Server Express for at MobilePBX kan benytte kalenderadadgang via database
Læs mereEt godt og effektivt vedligehold af en ISO27001 certificering. Erwin Lansing Head of Security & Chief Technologist
Et godt og effektivt vedligehold af en ISO27001 certificering Erwin Lansing Head of Security & Chief Technologist Hvad laver DK Hostmaster? Register for.dk domæner 1.315.274 domænenavne Ca. 700.000 kunder
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereFleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017)
FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017) Page 1 of 12 Indhold 1 Adgang til FleeDa... 3 1.1 HW og SW forudsætninger... 3 1.2
Læs mereKoncept for systemforvaltning af den fælles open source kode, herunder procedure for opfølgning på software-versioner af OpenTele
LEVERANCE 2.1 Koncept for systemforvaltning af den fælles open source kode, herunder procedure for opfølgning på software-versioner af OpenTele Konceptet beskriver, hvordan koden forvaltes, og hvordan
Læs mereCopyright SaaS-it Consult 2011. Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13.
Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13. september, 2011 Cloud Computing & SaaS Hvor er vi på vej hen? Agenda Definitioner The SaaS-it Evolution
Læs mereSIEM hvilken løsning skal du vælge? Claus Løppenthien, cll@dubex.dk Dubex A/S, 12. maj 2015
SIEM hvilken løsning skal du vælge? Claus Løppenthien, cll@dubex.dk Dubex A/S, 12. maj 2015 Overvågning - udfordringen med logning Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure
Læs mere