WWI A/S. CVR nr.: Februar 2016

Størrelse: px
Starte visningen fra side:

Download "WWI A/S. CVR nr.: 26 73 40 96. Februar 2016"

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af deres hostingydelse i perioden til WWI A/S CVR nr.: Februar 2016 REVI-IT A/S statsautoriseret revisionsaktieselskab Jens Kofods Gade København K Tlf info@revi-it.dk revi-it.dk CVR-nr

2 Indholdsfortegnelse Afsnit 1: WWI A/S ledelseserklæring... 1 Afsnit 2: WWI A/S beskrivelse af kontroller i forbindelse med drift af deres hosting-ydelse... 2 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet... 9 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf REVI-IT A/S

3 Afsnit 1: WWI A/S ledelseserklæring Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt WWI A/S it-hosting-aktivitet, og disses revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. WWI A/S bekræfter, at: (a) Den medfølgende beskrivelse, i afsnit 2, giver en retvisende beskrivelse af WWI A/S it-hostingaktivitet til kunder i hele perioden fra til Kriterierne for denne beskrivelse var, at den medfølgende beskrivelse: (i) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder relevante kontrolmål og kontroller, udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner. (ii) indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra til (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse vigtigt efter deres særlige forhold. (b) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra til Kriterierne for denne beskrivelse var, at: (i) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret (ii) de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål (iii) kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra til REVI-IT A/S Side 1 af 22

4 Afsnit 2: WWI A/S beskrivelse af kontroller i forbindelse med drift af deres hosting-ydelse WWI A/S er et 100 % danskejet IT-selskab med fødderne godt plantet i den jyske muld. Dette kan ikke kun ses på vore adresser, men skinner igennem i alt hvad vi tænker og gør. Vi har siden 1993 leveret seriøse og konkurrencedygtige IT-løsninger. Hos os er den rigtige løsning omdrejningspunktet for samarbejdet med vore kunder. Vi sætter en ære i, at give os den rette tid til at forstå behovet og få løsningen fulgt helt til døren! Startskuddet var salg af adresser, hjemmesider (hosting) og hvad der ellers rørte sig i den første begyndelse for internettets udbredelse til danske virksomheder. I dag udgør hosting stadig en solid grundkerne i virksomheden, men kompetenceniveauet er nu udvidet så hele spektret inden for IT dækkes - derfor kalder vi os også IT Totalleverandør! Vore kompetencer er bl.a.: Konsulentassistance / rådgivning Hosting og outsourcing Sikkerhedsløsninger Kommunikationsløsninger Salg af hardware / software Vi er medlemmer af BFIH, og ser det derigennem som en vigtig opgave at være med til at højne kvalitet, stabilitet og gennemsigtighed i et hosting-marked der er præget af mangeartede løsninger af varierende kvalitet og stabilitet. Vores målsætning er at være virksomhedens foretrukne samarbejdspartner med alt inden for IT. Dette skal opnås gennem god kundeservice, stabil og seriøs drift samt højt og professionelt kompetenceniveau. Ledelsen godkender og revurderer it-sikkerhedspolitikken minimum hvert år, dog altid ved større organisatoriske ændringer med indvirkning på anvendelsen af it i virksomheden. IT-driftsudvalget sikrer, at den overordnede it-sikkerhedspolitik er kommunikeret til alle medarbejdere, samarbejdspartnere samt øvrige personer, der er involveret i anvendelsen af it i virksomheden. It driftsudvalget reviderer og godkender 1 gang årligt risikoanalysen. Ved organisatoriske ændringer revideres og godkendes den ekstraordinært. IT-driftsudvalget sikrer, at sikringsforanstaltninger udvælges på basis af risikoanalysen. Organisering af informationssikkerhed, ansvar og retningslinjer Der afholdes løbende møder i IT-driftsudvalget med fast agenda hvor punkterne fra it-sikkerhedspolitikken vurderes og tages stilling til. Risikoanalysen opdateres og godkendes én gang årligt på driftsudvalgsmøde med mindre der har været organisatoriske ændringer herved revideres den umiddelbart. REVI-IT A/S Side 2 af 22

5 Organisation og ansvar Organisatorisk er ansvar inddelt efter roller primært følgende: ledelse, it-driftsudvalg og systemejer It-driftsudvalget har såfremt det er relevant - ansvaret for kontakt til myndighederne vedrørende emner inden for it-sikkerhedsområdet. Vi er som hosting-leverandør medlem af BFIH Brancheforeningen for IT-hostingvirksomheder i Danmark. Medarbejdere er medlem af relevante interessegrupper inden for deres arbejdsfelt. Medarbejdersikkerhed Screening Ved jobsamtalen kvalificeres den faglige viden, og stikprøve vis kontrolleres opgivne referencer. Ansættelsesforholdet Der er i ansættelseskontrakten angivet reference til at medarbejderen skal følge de til enhver tid gældende retningslinjer. Medarbejdere orienteres løbende på møder samt via omkring gældende it- sikkerhedspolitik og procedurer, samt orienteres når disse opdateres og ændres. Medarbejdere deltager herudover også løbende i relevant uddannelse. Ansættelsens ophør Ledelsen sikrer, at medarbejdere ved fratrædelse informeres om deres pligter bl.a., med reference til tavshedserklæring og juridiske regler. Ligeledes sikrer ledelsen at det bliver meddelt it-driftsudvalget når medarbejdere eller anden form for personale tilknyttet virksomheden fratræder virksomheden, således rettigheder og privilegier kan inddrages. REVI-IT A/S Side 3 af 22

6 Styring af informationsrelaterede aktiver Der vedligeholdes fortegnelsen med oversigt over udstyr placeret i datacenteret. Heri er angivet placering, ejerskab og andre relevante oplysninger for aktiverne. Der forefindes ligeledes fortegnelse over de menneskelige ressourcer. Disse findes som bilag til IT-sikkerhedshåndbogen. It-driftsudvalget godkender sammen med ledelsen væsentlige indkøb af IT-udstyr og software, samt udpeger systemejer for dette. Klassifikation af informationer og data Data og informationer er inddelt i 3 klassificeringer: Kundedata, WWI A/S og Intern WWI. Alle typer data behandles med omhu jvf. It-sikkerhedshåndbogen. Forsendelse og opbevaring af fortrolige data må kun foregå med stærk kryptering, og efter aftale med dataejer. Destruktion af datamedier må kun foregå med garanti for total destruktion af medier, og med dokumentation fra bortskafferen. Adgangsstyring Adgangsrettigheder tildeles udelukkende ud fra et arbejdsbetinget behov. Brugere oprettes som personlige brugeridentiteter. Der vedligeholdes en brugeroversigt for relevante systemer, og denne oversigt revideres løbende for at sikre dens gyldighed. Er der tale om servicebrugere, er muligheden for egentlig log-on så vidt muligt deaktiveret. I tilfælde af ændringer/nedlæggelse/spærring af brugeradgang sørger systemejer for at udføre den pågældende opgave. Der opsamles log på systemer for autoriseret og uautoriserede adgangsforsøg. Logs gennemgås periodiske for autoriserede / uautoriserede logins fra brugere med administrative rettigheder. Adgangsrettigheder gennemgås løbende for relevante systemer og det kontrolleres at der kun er de relevante adgange tildelt. Rettigheder og brugeradgang inddrages for medarbejdere eller anden form for personale tilknyttet virksomheden ved endt samarbejde. Adgangskoder er fortrolige og behandles med omhu. Systemdokumentation er tilgængelig for de relevante medarbejdere og sikret via adgangskontrol. Netværket er opdelt i segmenter samt beskyttet af firewalls for at opnå den nødvendige sikkerhed for systemerne. Sikkerheden er tilpasset den enkelte kundeløsning eller det pågældende system, ligesom adgang til de pågældende systemer kun tildeles ud fra et arbejdsmæssigt behov. Der er etableret automatisk passwordpolicy der systemmæssigt tvinger brugere til at overholde den gældende politik samt sikre regelmæssig skift af password. Til særligt sikrede systemer er der endvidere etableret 2-faktorvalidering. Diagnose- og konfigurationsporte kan kun anvendes ved fysisk tilstedeværelse ved det pågældende udstyr, og er således sikret af den almindelige adgangskontrol. Systemer der kan sidestilles med samme adgangsniveau uden fysisk tilstedeværelse er beskyttet af adgangskontrol med 2-faktorvalidering. REVI-IT A/S Side 4 af 22

7 Kryptografi Alle medarbejdere arbejder via krypterede VPN forbindelser når der benyttes mobil/opkobling udefra. Kunders datakommunikation til WWI A/S foregår alene krypteret, bort set fra s. Kunder kan vælge at benytte krypterede s hvis der er behov for dette. Fysisk sikkerhed Adgang til sikre områder er begrænset af automatisk adgangskontrol og alarm hvor hver enkelt medarbejder er oprettet med egen personlig adgangskode/nøglebrik. Generel adgang til bygning/kontor kræver adgangskode og kodebrik. Kun personer med arbejdsrelateret behov for at kunne tilgå datacentret har adgang her til. Der er ligeledes etableret videoovervågning af området, samt sikret udeareal hvor eksternt udstyr som dieselgenerator og køling er placeret. Eksternt udstyr er placeret bag aflåst og hærkværkssikret indhegning. Der føres log over op låsning af døre, samt fra og tilkobling af alarm og zoner. Loggen for adgang er sikret jævnfør gældende sikkerhedspolitikker. Alle driftssystemer er placeret i serverrummet. Køle- og brandslukningsanlæg til sikring af driftsfaciliteterne testes og serviceres jævnligt. Alarmer fra serverrummet sendes automatisk til døgnbemandet kontrolcentral. It-aktiver, der understøtter kritiske processer, er forsynet med UPS og diesel generator til fortsat drift i tilfælde af strømsvigt. Hvilket er tilsvarende for køleanlæg, brandslukning samt rum-overvågning. It-driftsudvalget følger min. 1 gang årligt op på servicering af nævnte udstyr. Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. Der udføres løbende inspektion af tekniske sikringsforanstaltninger, samt andre relevante systemer i forbindelse med driften i serverrummet. Denne inspektion dokumenteres og logføres. Alle lagringsmedier slettes (almindelig re-formatering er ikke tilstrækkelig) eller fysisk destrueres inden genbrug eller bortskaffelse. Der er etableret systempolicy der automatisk sørger for at låse og slå pauseskærm til på alle enheder jævnfør den gældende sikkerhedspolitik, således disse sikres hvis de ikke er overvåget. Ligeledes holdes skriveborde ryddelige for fortrolige dokumenter og materiale. Driftssikkerhed Procedurer og drift It-driftsudvalget tager stilling til relevante procedurer. Procedurer findes tilgængeligt for relevant personale. Der udføres Change Management på relevante systemer og udstyr. Der er defineret følgende typer af Changes: Projekt, Minor og Major. Nærmere beskrivelse af disse er tilgængelig i IT-sikkerhedshåndbogen. Der forefindes change-log på relevant udstyr/systemer. REVI-IT A/S Side 5 af 22

8 It-driftsudvalget foretager løbende en vurdering af kapacitetsbehovet for driften. Herudover udarbejder ledelsen minimum én gang årligt en beskrivelse af det kommende års forventelige forretningsmæssige itressourcebehov. Bærbare computere opdateres automatisk med beskyttelse selv om der ikke kan kommunikeres med de centrale servere, og medarbejderes egne PC'er er underlagt den til enhver tid gældende ITsikkerhedspolitik. På alle relevante servere og maskiner er der installeret antivirus for at sikre mod udefra kommende virus/malware/trusler. Sikkerhedskopiering Der foretages fuld kopiering af alle servere/data jævnfør gældende SLA. Særligt udvalgte systemer kan have flere restorepoints. Kunder kan vælge specialtilpasset backupperioder. Backup foretages i 2 omgange. Primær backup til diskbaseret system i datacentret. Herefter replikeret backup foretaget til diskbaseret system på sekundær site via dedikeret fiberforbindelse. Backuprapport gennemgås løbende for fejl og andre relevante informationer, og der føres log over backuprapporter og hændelser. Der foretages løbende restore test. Der gendannes vilkårligt data og det kontrolleres at data intakt og ser ud som forventet. Der foretages logføring af restore test. Overvågning, logning og netværk Netværk og netværksudstyr overvåges proaktiv via system der løbende kan opsamle data om performance, samt reagere på fejl fra udstyret. Driftsmedarbejdere orienteres automatisk via eller SMS ved fejl. Systemer overvåges proaktivt for fejl. Overvågningen kontrolleres løbende for fejl så der kan følges op på fejl og indmeldinger. Eventuelle åbne fejl leveres i samt internt system og præsenteres på oversigtsskærm i kontor for synliggørelse for driftsmedarbejdere. Afhængig af typen af fejl, tager support eller systemejer sig af fejlen og sørger for den bliver rettet. Support eller systemejer rapporterer til it-driftsudvalget hvis fejlen er af en type hvor det findes relevant at tage stilling til hvilke foranstaltninger der kan etableres for at forhindre fejlen i at opstå igen. Systemer og netværk overvåges ligeledes proaktivt på relevante parametre for forsøg på misbrug. Logdata gemmes og sikres, og relevante logdata gennemgås løbende. Systemer og netværksudstyr synkroniserer automatisk tiden via NTP-server fra internettet. Patching og andre opgraderinger udføres som fastlagt i gældende procedurer. Disse dokumenteres ligeledes i Change Management. Via vores medlemskab af BFIH, er vi forpligtede til at sikre, at kritiske sikkerhedsopdateringer implementeres inden for 2 måneder efter frigivelse. Dette sikrer vi ved, at vi efter fastlagte procedurer afvejer alle væsentlige opdateringer og implementerer dem inden for det pågældende tidsrum. Netværket er opdelt i segmenter samt beskyttet af firewalls for at opnå den nødvendige sikkerhed for systemerne. Eksterne samarbejdspartnere og leverandører I samarbejde med it-driftsudvalget har systemejeren ansvaret for, at der udarbejdes en risikoanalyse i REVI-IT A/S Side 6 af 22

9 forbindelse med samarbejde med eksterne parter, der har adgang til virksomhedens it-aktiver. Systemejeren har ligeledes ansvaret for, at alle formelle samarbejdsaftaler med eksterne parter indeholder de dele af it-sikkerhedspolitikken med tilhørende regler, der gør sig gældende for samarbejdet. It-driftsudvalget gennemgår minimum hver 6. måned rapporter fra eksterne serviceleverandører omhandlende hændelser, problemer, fejl, nedbrud og logning. Der indhentes ligeledes revisionserklæring hvor dette er relevant. Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. På agendaen er ligeledes fastlagt punkt hvor kapacitetsbehov behandles. Styring af sikkerhedsbrud Sikkerhedshændelser behandles og evalueres som et fast punkt på It-driftsudvalgets møder. Der føres en sikkerhedshændelseslog der behandler både tekniske samt generelt sikkerhedsmæssige hændelser. Alle medarbejdere og øvrige personer, der gør brug af it-systemerne, skal indrapportere itsikkerhedshændelser umiddelbart efter, at disse er Indrapporteringen skal foregå direkte til et medlem af It-driftsudvalget. Sikkerhedshændelser klassificeres i følgende 3 kategorier: Tilgængelighed eks. nedbrud på driftsfaciliteter Integritet eks. manipulationer på systemer/netværk Fortrolighed eks. uautoriserede har fået adgang til data Sikkerhedshændelser prioriteres således: Minor Mindre sikkerhedsbrud der ikke er kritisk eller kræver en akut løsning. Medium Kræver håndtering akut. Major Kræver iværksættelse af beredskabsplanen. Alle sikkerhedshændelser dokumenteres ud fra en fastlagt skabelon, og der foretages løbende opfølgning på hændelser i It-driftsudvalget. It-driftsudvalget vurderer nødvendigheden for at indhente data fra logs fra relevante systemer når dette findes relevant. Beredskabsstyring Der forefindes en ledelsesgodkendt beredskabsplan. Denne plan er tilgængelig på papir og i elektronisk form distribueret. Der forefindes ligeledes en ledelsesgodkendt risikoanalyse. Gennemgang og revidering af beredskabsplanen er en fast del af agendaen for it-driftsudvalgets fastlagte møder. Test af beredskabsplanen foretages løbende. Redundans I det generelle netværksdesign er der etableret redundant internetforbindelse der først mødes i switch. Herudover er der i infrastrukturen indarbejdet yderligere redundans hvor dette er relevant. REVI-IT A/S Side 7 af 22

10 Overensstemmelse med lovbestemte krav WWI A/S er ikke underlagt særlig lovgivning i forbindelse med drift af hosting-systemerne. Vores kunder kan dog være underlagt dette, og her vil WWI A/S understøttelse af dette være aftalt særskilt. Der udsendes jævnligt orienterende til alle medarbejdere med henblik på orientering omkring WWI A/S sikkerhedspolitik samt It-sikkerhedshåndbogen og dertilhørende relaterede procedurer og emner. Én gang årligt lader vi os undergå uvildig IT-revision med henblik på afgivelse af en 3402 erklæring for overholdelse af kontrollerne nævnt i denne beskrivelse. I kraft af, at vi er medlemmer af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), skal vi årligt kunne bevise at vi følger rammerne inden for ISO 27002:2014. Omtalte revisorerklæring sikrer dette, ligesom BFIH ønsker ekstern revisors bekræftelse på vores overholdelse af foreningens øvrige krav. Disse omhandler forsikringsforhold, gennemsigtighed i forretningsvilkår, selskabsretlige forhold for virksomheden mv. Disse bekræftelser fra revisor er hjælp til BFIH s certificering af WWI A/S. Komplementerende kontroller etableret hos vores kunder WWI A/S kunder er, med mindre andet er aftalt, selv ansvarlig for at etablere forbindelse til WWI A/S servere. Dette indbefatter, at kunderne selv er ansvarlige for at have en fungerende og tilstrækkelig internetforbindelse samt evt. opsætning og test af alternative internetforbindelser, skulle den primære internetforbindelse fejle. WWI A/S kunder er ansvarlige for periodisk gennemgang af kundens egne brugerkonti. WWI A/S kunder er ansvarlige for at ajourføre liste over sammenhæng mellem brugerkonti og ansatte/maskiner. WWI A/S kunder er ansvarlige for, at deres brugerkonti kun benyttes på deres godkendte personer/maskiner. Skulle der opstå tvivl om kompromitterede brugerkonti ved f.eks. tyveri af PC, er det kundens ansvar at informere WWI A/S. REVI-IT A/S Side 8 af 22

11 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos WWI A/S, deres kunder, og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om WWI A/S beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af WWI A/S ledelse, dækker virksomhedens behandling af kunders transaktioner på virksomhedens drift af it-hosting-platform i perioden til , samt udformningen og funktionaliteten af de kontroller der knytter sig til de kontrolmål, som er anført i beskrivelsen. WWI A/S beskrivelse (afsnit 2) indeholder en række forhold, som virksomheden skal leve op til jf. virksomhedens medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark). Vores revision har omfattet disse forhold, og består udover de fysiske forhold, herunder server hardware, LAN, WAN og firewalls, af: hvorvidt WWI A/S implementerer kritiske sikkerhedsopdateringer inden for 2 måneder fra frigivelse hvorvidt WWI A/S kan retablere enheder i datacenter inden for 3 dage. WWI A/S ansvar WWI A/S er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udsagn (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret. WWI A/S er herudover ansvarlig, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål og for udformningen, implementeringen og effektiviteten af fungerende kontroller for at nå de anførte kontrolmål. REVI-IT A/S uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i IESBA s Etiske regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Firmaet anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om WWI A/S beskrivelse (afsnit 2) og om udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i REVI-IT A/S Side 9 af 22

12 serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør WWI A/S beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i WWI A/S beskrivelse i afsnit 2 og det er på den baggrund vores vurdering, (a) at beskrivelsen af kontroller, således som de var udformet og implementeret i hele perioden til , i alle væsentlige henseender er retvisende (b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra til (c) at kontrollerne for de særlige krav, som er foranlediget af virksomhedens medlemskab af BFIH jf. beskrivelsen i kapitel 2, var hensigtsmæssigt udformet i hele perioden fra til (d) at de testede kontroller, som var de kontroller, der var nødvendige for at give en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden til Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse tester fremgår i det efterfølgende hovedafsnit (afsnit 4). REVI-IT A/S Side 10 af 22

13 Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt WWI A/S hostingydelse, og disses revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 12. februar 2016 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, CRISC, adm. direktør REVI-IT A/S Side 11 af 22

14 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som WWI A/S har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden til Vi har således ikke nødvendigvis testet alle de kontroller, som WWI A/S har nævnt i sin beskrivelse i afsnit 2. Kontroller udført hos WWI A/S kunder er herudover ikke omfattet af vores erklæring, idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos WWI A/S via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførelse af kontrol Overordnet beskrivelse Interview, altså forespørgsel af udvalgt personale hos virksomheden angående kontroller Observation af, hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførelse Vi har selv udført eller har observeret en genudførelse af kontroller med henblik på at verificere, at kontrollen fungerer som forventet Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser herfra, har vi anført dette. REVI-IT A/S Side 12 af 22

15 Risikovurdering og -håndtering Risikovurdering 4.1 Formålet er at sikre, at virksomheden periodisk foretager en analyse og vurdering af it-risikobilledet. Vi har forespurgt til udarbejdelsen af en it-risikoanalyse, og vi har inspiceret dokumentet. Vi har forespurgt til evaluering af itrisikoanalysen, og vi har inspiceret dokumentation for evaluering. Vi har forespurgt til ledelsesgodkendelse af it-risikoanalysen, og vi har inspiceret dokumentation for ledelsesgodkendelse. Vi har forespurgt til udarbejdelsen af en it-risikoanalyse, og vi har inspiceret dokumentet. It-sikkerhedsstyring It-sikkerhedspolitik 5.1 Formålet er at sikre, at der gives retningslinjer for og understøttelse af informationssikkerheden i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter. Vi har forespurgt til udarbejdelsen af en informationssikkerhedspolitik, og vi har inspiceret dokumentet. Vi har forespurgt til evaluering af itsikkerhedspolitikken, og vi har inspiceret dokumentation for evaluering. Vi har forespurgt til ledelsesgodkendelse af it-sikkerhedspolitikken, og vi har inspiceret dokumentation for ledelsesgodkendelse. REVI-IT A/S Side 13 af 22

16 Organisering af informationssikkerhed Intern organisering 6.1 Formålet er at sikre, at der etableres et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og driften af informationssikkerhed i organisationen. Vi har forespurgt til tildeling af ansvar for informationssikkerhed, og vi har inspiceret dokumentation for tildeling. Vi har forespurgt til tildeling af rettigheder efter funktion, og vi har inspiceret dokumentation for funktionsadskillelse. Vi har forespurgt til retningslinjer for kontakt med myndighederne, og vi har inspiceret retningslinjerne. Vi har forespurgt til risikovurdering af projekter før implementering, og vi har inspiceret dokumentation for risikovurdering. Mobile enheder og fjernarbejdspladser 6.2 Formålet er at sikre fjernarbejdspladser og brugen af mobilt udstyr. Vi har forespurgt til sikring af mobile enheder, og vi har inspiceret dokumentation for styringen. Vi har forespurgt til dokumentation for anvendelsen af kryptering i forbindelse med ekstern adgang til systemerne. Medarbejdersikkerhed Inden ansættelse 7.1 Formålet er at sikre, at medarbejdere og kontrahenter forstår deres ansvar og er egnede til de roller, de er i betragtning til. Vi har forespurgt til screening af nye medarbejdere, og vi har stikprøvevis inspiceret dokumentation for screening. Vi har forespurgt til formalisering af ansættelsesforhold, og vi har stikprøvevis inspiceret dokumentation for formaliseringen. REVI-IT A/S Side 14 af 22

17 Under ansættelse 7.2 Formålet er at sikre, at medarbejdere og kontrahenter er bevidste om og lever op til deres informationssikkerhedsansvar. Ophør eller ændring i ansættelse 7.3 Formålet er at sikre, at organisationens interesser, som led i ansættelsesforholdets ændring eller ophør, beskyttes. Vi har forespurgt til formel beskrivelse af ledelsens ansvar for informationssikkerhed, og vi har inspiceret beskrivelsen. Vi har forespurgt til videreuddannelse af personalet, og vi har inspiceret dokumentation for videreuddannelse. Vi har forespurgt til formalisering af sanktioneringsproces, og vi har inspiceret dokumentation for, at sanktioneringsprocessen er formaliseret. Vi har forespurgt til kommunikeret ansvar for informationssikkerhed ved ophør i ansættelse, og vi har stikprøvevis inspiceret dokumentation for forholdet. Styring af aktiver Ansvar for aktiver 8.1 Formålet er at sikre, at organisationens aktiver defineres, og at der defineres passende ansvarsområder til beskyttelse heraf. Dataklassifikation 8.2 Formålet er at sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. Vi har forespurgt til fortegnelse over aktiver, og vi har inspiceret udvalgte fortegnelser. Vi har forespurgt til formalisering af ejerskab på aktiver, og vi har inspiceret dokumentation for formelt ejerskab. Vi har forespurgt til informering om acceptabelt brug af aktiver, og vi har stikprøvevis inspiceret dokumentation på informering. Vi har forespurgt til procedure for tilbagelevering af aktiver, og vi har inspiceret proceduren. Vi har forespurgt til retningslinjer for klassificering og mærkning af data, og vi har inspiceret retningslinjerne. Vi har forespurgt til politik for håndtering af aktiver, og vi har inspiceret politikken. Det har ikke været muligt at teste effektiviteten af proceduren for tilbagelevering af aktiver, da der i revisionsperioden ikke har været ophør i nogen medarbejders ansættelse. konstateret i øvrigt. REVI-IT A/S Side 15 af 22

18 Mediehåndtering 8.3 Formålet er at sikre hindring af uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af information lagret på medier. Vi har forespurgt til politik for håndtering af bærbare medier, og vi har inspiceret politikken. Vi har forespurgt til politik for bortskaffelse af medier, og vi har inspiceret politikken. Der er ikke bortskaffet bærbare medier i revisionsperioden, og det har derfor ikke været muligt at teste effektiviteten af den etablerede kontrol. konstateret i øvrigt. Adgangskontrol Forretningskrav til adgangskontrol 9.1 Formålet er at sikre, at adgangen til information og informationsbehandlingsfaciliteter begrænses. Administration af brugeradgange 9.2 Formålet er at sikre adgang for autoriserede brugere og forhindre uautoriseret adgang til systemer og tjenester. Vi har forespurgt til politik for styring af adgang, og vi har inspiceret politikken. Vi har forespurgt til politik for adgang til netværk og netværksservices, og vi har inspiceret politikken. Vi har forespurgt til procedure for oprettelse og nedlæggelse af brugere, og vi har inspiceret procedurerne. Vi har stikprøvevis inspiceret dokumentation for oprettelse af ny bruger. Vi har forespurgt til håndtering af rettighedsstyring, og vi har stikprøvevis inspiceret dokumentation for håndteringen. Vi har forespurgt til kontrol med privilegerede rettigheder, og vi har inspiceret dokumentation for den etablerede kontrol. Vi har forespurgt til håndtering af nye logon-informationer og vi har inspiceret proceduren. Vi har endvidere stikprøvevis inspiceret dokumentation for, at proceduren er fulgt. Vi har forespurgt til periodisk gennemgang af brugere, og vi har inspiceret dokumentation for gennemgang i revisionsperioden. Vi har forespurgt til procedure for inddragelse af adgangsrettigheder i perioden. Vi har forespurgt til ophør i ansættelser i revisionsperioden. Det har ikke været muligt at teste effektiviteten af kontrollen for inddragelse af adgangsrettigheder, da der ikke har været fratrædelser i perioden. konstateret i øvrigt. REVI-IT A/S Side 16 af 22

19 Brugeransvar 9.3 Formålet er at gøre brugere ansvarlige for at sikre deres autentifikationsinformation. Vi har forespurgt til politik for håndtering af hemmelig autentifikationsinformation, og vi har inspiceret politikken. Kontrol af adgang til systemer og data 9.4 Formålet er at sikre, at uautoriseret adgang til systemer og applikationer forhindres. Vi har forespurgt til begrænset adgang til data, og vi inspiceret den implementerede løsning. Vi har forespurgt til procedure for logon, og vi har inspiceret løsningen. Vi har forespurgt til system til administrering af brugere og adgangskoder, og vi har inspiceret løsningen samt de etablerede krav til kodeord. Vi har forespurgt til anvendelse af privilegerede systemværktøjer, og vi har inspiceret retningslinjer for anvendelsen af privilegerede systemværktøjer. Fysiske og miljømæssige sikringer Sikre områder 11.1 Formålet er at sikre hindring af uautoriseret fysisk adgang til samt beskadigelse af og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter. Vi har inspiceret de fysiske rammer for WWI's datacenter, og vi har påset de fysiske rammer. Vi har forespurgt til den fysiske adgangskontrol til datacenter, og vi har inspiceret den etablerede løsning. Vi har forespurgt til kontrol med adgang til datacenter, og vi har inspiceret kontrollen. Vi har forespurgt til sikring af kontorer og driftsfaciliteter, og vi har inspiceret sikringen. Vi har forespurgt til foranstaltninger til sikring mod eksterne og miljømæssige trusler, og vi har inspiceret den etablerede løsning. REVI-IT A/S Side 17 af 22

20 Udstyr 11.2 Formålet er at undgå tab, skade, tyveri eller kompromittering af aktiver og driftsafbrydelse i organisationen. Vi har inspiceret de fysiske rammer for placering af driftskritisk udstyr. Vi har forespurgt til anvendelsen af understøttende forsyninger, og vi har ved fysisk inspektion verificeret tilstedeværelsen af køleanlæg, brandslukning og nødstrømsanlæg. Vi har inspiceret kablingen i datacenteret til betryggende sikring. Vi har forespurgt til vedligeholdelse af understøttende forsyninger, og vi har inspiceret dokumentation for servicering af udstyret. Vi har forespurgt til erklæring fra leverandør af housing, og vi har inspiceret erklæringen. Vi har forespurgt til politik for bortskaffelse af databærende medier, og vi har inspiceret politikken. Vi har forespurgt til sikring af brugerudstyr uden opsyn, og vi har inspiceret løsningen. Vi har forespurgt til politik for rydeligt skrivebord og blank skærm. Sikkerhed i forbindelse med drift Operationelle procedurer og ansvarsområder 12.1 Formålet er at sikre korrekt og sikker drift af informationsbehandlingsfaciliteter. Beskyttelse mod malware 12.2 Formålet er at sikre, at information og informationsbehandlingsfaciliteter er beskyttet mod malware. Vi har forespurgt til dokumenterede procedurer i forbindelse med driften, og vi har inspiceret udvalgte procedurer. Vi har forespurgt til styring af ændringer, og vi har stikprøvevis inspiceret håndteringen. Vi har forespurgt til overvågning og styring af kapaciteten, og vi har inspiceret dokumentation for overvågningen. Vi har forespurgt til adskillelse af testog driftsfaciliteter, og vi har inspiceret dokumentation for adskillelsen. Vi har forespurgt til foranstaltninger mod malware. Vi har forespurgt til anvendelsen af antivirusprogram, og vi har inspiceret dokumentation for anvendelsen. REVI-IT A/S Side 18 af 22

21 Backup 12.3 Formålet er at beskytte mod tab af data. Logning og overvågning 12.4 Formålet er at registrere hændelser og generere bevis. Vi har forespurgt til konfiguration af backup, og vi har inspiceret konfigurationen. Vi har forespurgt til opbevaring af backup, og vi har inspiceret dokumentation for opbevaring på sekundær lokation. Vi har forespurgt til procedure for håndtering af fejlet backup, og vi har inspiceret proceduren. Vi har forespurgt til logning af hændelser, herunder brugeraktivitet, og vi har stikprøvevis inspiceret logningskonfigurationerne. Vi har forespurgt til overvågning og gennemgang af kritiske logfiler, og vi har inspiceret dokumentation for gennemgang. Vi har forespurgt til opbevaring og sikring af logfiler, og vi har inspiceret dokumentation for opbevaringen og sikring. Vi har forespurgt til opsætning af tidsserver på netværket, og vi har inspiceret opsætningen. Styring af software på driftssystemer 12.5 Formålet er at sikre integriteten af driftssystemer. Styring af tekniske sårbarheder 12.6 Formålet er at sikre, at udnyttelse af tekniske sårbarheder forhindres. Vi har forespurgt til procedure for styring af ændringer af programmer på driftssystemer, og vi har inspiceret proceduren. Vi har forespurgt til retningslinjer for styring af tekniske sårbarheder, og vi har inspiceret de etablerede retningslinjer. Vi har forespurgt til rettidig opdatering af kritiske patches, og vi har inspiceret dokumentation for rettidig opdatering, samt bekræftet, at det foretages indenfor 2 måneder jf. krav fra BFIH. Vi har forespurgt til politik for begrænsning af programinstallation, og vi har inspiceret politikken. REVI-IT A/S Side 19 af 22

22 Kommunikationssikkerhed Styring af netværkssikkerheden 13.1 Formålet er at sikre beskyttelse af informationer i netværk og af understøttende informationsbehandlingsfaciliteter. Dataoverførsler 13.2 Formålet er at opretholde informationssikkerhed ved overførsel internt i en organisation og til en ekstern entitet. Vi har forespurgt til foranstaltninger til sikring af netværket og netværkstjenester. Vi har inspiceret dokumentation for etablering af VPN-forbindelser og firewalls. Vi har forespurgt til opdeling af netværk, og vi har inspiceret dokumentation for opdeling. Vi har forespurgt til etablering af aftaler om dataoverførsler. Vi har forespurgt til retningslinjer for håndtering af elektroniske meddelelser, og vi har inspiceret retningslinjerne. Vi har forespurgt til etablering af fortrolighedsaftaler, og vi har stikprøvevis inspiceret aftalerne. Leverandørforhold Informationssikkerhed i leverandørforhold 15.1 Formålet er at opretholde et aftalt niveau af informationssikkerhed og levering af ydelser i henhold til leverandøraftalerne. Vi har forespurgt til, hvorledes virksomhedens sikrer informationssikkerhed hos leverandører, og vi har inspiceret løsningen. Vi har forespurgt til erklæring fra underleverandør, og vi har inspiceret erklæringen. Styring af serviceydelser fra tredjepart 15.2 Formålet er at sikre, at aftalt niveau og ændringer i levering af ydelser kontrolleres. Vi har forespurgt til overvågning og evaluering af væsentlige serviceleverandører, og vi har inspiceret dokumentation for overvågning og evaluering. REVI-IT A/S Side 20 af 22

23 Styring af sikkerhedshændelser Styring af informationssikkerhedsbrud og forbedringer 16.1 Formålet er at sikre en ensartet og effektiv metode til styring af informationssikkerhedsbrud, herunder kommunikation om sikkerhedshændelser og -svagheder. Vi har forespurgt til procedurer for håndtering af informationssikkerhedshændelser, og vi har inspiceret proceduren. Vi har forespurgt til ansvarstildeling for håndtering af informationssikkerhedshændelser, og vi har inspiceret dokumentation for tildelingen. Vi har forespurgt til informationssikkerhedshændelser i perioden. Vi har forespurgt til procedure for rapportering af informationssikkerhedshændelser og -svagheder, og vi har inspiceret proceduren. Vi har forespurgt til procedurer for vurdering, reaktion og evaluering af informationssikkerhedsbrud, og vi har inspiceret proceduren. Vi har forespurgt til procedure for indsamling af beviser ved sikkerhedsbrud, og vi har inspiceret proceduren. Det har ikke været muligt at teste effektiviteten af proceduren for håndtering af sikkerhedshændelser, da der ikke er indtruffet sikkerhedshændelser i revisionsperioden. konstateret i øvrigt. Informationssikkerhedsaspekter ved beredskabsstyring Beredskab i forhold til informationssikkerheden 17.1 Formålet er at sikre, at informationssikkerhed er forankret i organisationens ledelsessystemer for beredskabs- og reetableringsstyring. Vi har forespurgt til udarbejdelsen af en beredskabsplan til videreførelse af driften i tilfælde af nedbrud, og vi har inspiceret planen. Vi har forespurgt til periodisk revurdering af beredskabsplanen, og vi har inspiceret dokumentation for revurdering i revisionsperioden. Vi har forespurgt til test af beredskabsplanen, og vi har inspiceret dokumentation for testen. Vi har forespurgt til kompenserende tiltag i forbindelse med test af beredskabsplan, og vi har inspiceret dokumentation for implementering af kompenserende tiltag. REVI-IT A/S Side 21 af 22

24 Redundans 17.2 Formålet er at sikre tilgængelighed af informationsbehandlingsfaciliteter. Vi har forespurgt til, om WWI har tilstrækkelig redundans til overholdelse af krav for tilgængelighed, og vi har inspiceret dokumentation for redundansen, herunder dokumentation for redundans på netværket jf. krav fra BFIH. Overensstemmelse Overensstemmelse med lovgivning og kontraktmæssige krav 18.1 Formålet er at forhindre overtrædelse af lov-, myndighedseller kontraktkrav i relation til informationssikkerhed og andre sikkerhedskrav. Vi har forespurgt til, om WWI er underlagt særlig lovgivning. Vi har inspiceret, hvorvidt WWI A/S stiller rammer til rådighed for kunders overholdelse af persondataloven. Review af informationssikkerheden 18.2 Formålet er at sikre, at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer. Vi har forespurgt til uafhængig evaluering af informationssikkerheden, og vi har inspiceret, at dette foretages. Vi har forespurgt til intern kontrol til sikring af overholdelse af sikkerhedspolitik og procedurer. Vi har forespurgt til egenkontrol af teknisk overensstemmelse, og vi har stikprøvevis inspiceret dokumentation for de etablerede kontroller. REVI-IT A/S Side 22 af 22

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

WWI A/S CVR-nr.:

WWI A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af deres hostingydelser i perioden 01-12-2015 til 30-11-2016 ISAE 3402-II

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder Den 12. november 2014 J.nr. 2014103514 Ref.: kj Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder Sundhedsstyrelsens opfølgning på Rigsrevisionens beretning af 5.

Læs mere

Kommissorium for Revisionsudvalget i Spar Nord Bank A/S

Kommissorium for Revisionsudvalget i Spar Nord Bank A/S Kommissorium for Revisionsudvalget i Spar Nord Bank A/S Dato: Februar 2016 1 1. Indledning Det følger af bekendtgørelsen om revisionsudvalg i virksomheder samt koncerner, der er underlagt tilsyn af Finanstilsynet

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Fællesregional Informationssikkerhedspolitik Indhold 1. Formål...1 2. Organisation...2 3. Gyldighedsområde...3 4. Målsætninger...3 5. Godkendelse...4 1. Formål Den Fællesregionale Informationssikkerhedspolitik

Læs mere

Timengo DPG A/S CVR-nr

Timengo DPG A/S CVR-nr Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift og vedligeholdelse af DPG-løsningen pr. 16. januar 2019 ISAE 3402, type I Timengo DPG

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Kommissorium for Revisionsudvalget. Juni 2016

Kommissorium for Revisionsudvalget. Juni 2016 Kommissorium for Revisionsudvalget Juni 2016 Indhold 1. KONSTITUERING OG FORMÅL... 3 2. MEDLEMSKAB... 3 3. MØDESTRUKTUR- OG FREKVENS... 4 4. BEMYNDIGELSE OG RESSOURCER... 4 5. OPGAVER OG FORPLIGTELSER...

Læs mere

Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 7 Informationssikkerhed

Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 7 Informationssikkerhed Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet Bilag 7 Informationssikkerhed 12.05.2016 Version 1.0 [Vejledning til tilbudsgiver: Bilaget er i sin helhed at betragte som et mindstekrav

Læs mere

Plan og Handling CVR-nr.:

Plan og Handling CVR-nr.: Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov pr. 29-01-2019 ISAE 3000 CVR-nr.: 18 13 74 37

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

DFF EDB a.m.b.a. CVR-nr.:

DFF EDB a.m.b.a. CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.

Læs mere

Komiteen for Sundhedsoplysning CVR-nr.:

Komiteen for Sundhedsoplysning CVR-nr.: Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) pr. 20-12-2018 ISAE 3000 Komiteen for Sundhedsoplysning CVR-nr.: 14 03 53 38 December

Læs mere

Lector ApS CVR-nr.:

Lector ApS CVR-nr.: Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesloven (GDPR) pr. 06-07-2018 ISAE 3000-I Lector ApS CVR-nr.: 10 02 16 18 Juli 2018 REVI-IT A/S statsautoriseret

Læs mere

It-sikkerhedspolitik for Farsø Varmeværk

It-sikkerhedspolitik for Farsø Varmeværk It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik 1 for Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden i. Politikken skal sikre, at fortsat kan sikre kommunens høje troværdighed forebygge sikkerhedsbrist og tab

Læs mere

Fonden Center for Autisme CVR-nr.:

Fonden Center for Autisme CVR-nr.: Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataloven og tilhørende bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger med senere ændringer

Læs mere

IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer

IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer MARTS 2019 IMS A/S CVR-nummer 25862015 ISAE 3402 TYPE 1 ERKLÆRING Revisors erklæring vedrørende overholdelse af sikkerhedsprocedurer omkring dataudveksling. Rammen for sikkerhedsprocedurer er angivet i

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2015 til 31-12-2015 SYSTEMHOSTING

Læs mere

DFF-EDB a.m.b.a CVR nr.:

DFF-EDB a.m.b.a CVR nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Complea A/S CVR-nr.:

Complea A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelser i perioden 25-05-2018 til 30-04-2019 ISAE 3402-II CVR-nr.:

Læs mere

GML-HR A/S CVR-nr.:

GML-HR A/S CVR-nr.: Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret

Læs mere

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-12-2014 til 30-11-2015 ISAE 3402-II any.cloud

Læs mere

Retningslinier for adgangsstyring til Banedanmarks informationsaktiver.

Retningslinier for adgangsstyring til Banedanmarks informationsaktiver. Informationssikkerhed Vers.3.0 Retningslinier for adgangsstyring til Banedanmarks informationsaktiver. 19.04.2010 Informationsaktiver omhandler alle informationer hvad enten de er elektroniske, papirbaserede

Læs mere

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser. www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors

Læs mere

Præsentation af Curanets sikringsmiljø

Præsentation af Curanets sikringsmiljø Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:

Læs mere

Svendborg Skolebio. Revisionsprotokollat. Strandvej 75, 5700 Svendborg. CVR-nr. 36 30 82 06

Svendborg Skolebio. Revisionsprotokollat. Strandvej 75, 5700 Svendborg. CVR-nr. 36 30 82 06 Strandvej 75, 5700 Svendborg CVR-nr. 36 30 82 06 Revisionsprotokollat af ## til årsregnskab for perioden 1. april - 31. december 2015 Indhold 1 Indledning 10 2 Konklusion på den udførte revision 10 3 Betydelige

Læs mere

Frederiksberg Kommunes It-sikkerhedsregler (inspireret af ISO 27001)

Frederiksberg Kommunes It-sikkerhedsregler (inspireret af ISO 27001) Frederiksberg Kommunes It-sikkerhedsregler (inspireret af ISO 27001) Oversigt 1. Informationssikkerhedspolitikker 1.1 Retningslinjer for styring af informationssikkerhed 1.1.1 Politikker for informationssikkerhed

Læs mere

Vejledning til ledelsestilsyn

Vejledning til ledelsestilsyn Vejledning til ledelsestilsyn Ledelsestilsynet er et væsentligt element i den lokale opfølgning og kan, hvis det tilrettelægges med fokus derpå, være et redskab til at sikre og udvikle kvaliteten i sagsbehandlingen.

Læs mere

Complea A/S CVR-nr

Complea A/S CVR-nr Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med hosting-ydelsen pr. 24. maj 2018 ISAE 3402, type I Complea A/S CVR-nr. 33 15 37 16 Maj 2018

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

Aarhus Kommune. Politik 1.4 11-03-2016

Aarhus Kommune. Politik 1.4 11-03-2016 Aarhus Kommune Politik 1.4 11-03-2016 Indledning IT-sikkerhedspolitikken blev vedtaget i byrådets møde den 24. juni 2009 Revisionsdato: 11. marts 2016 IT-sikkerhedspolitikken er den overordnede ramme for

Læs mere

Informationssikkerhed

Informationssikkerhed Banedanmark Informationssikkerhed Overordnet politik Banedanmarks informationssikkerhedspolitik Version 4.0 10-12-2012 Indholdsfortegnelse Politik 2 Informationssikkerhedspolitik for Banedanmark 2 Indledning

Læs mere

Notat om håndtering af aktualitet i matrikulære sager

Notat om håndtering af aktualitet i matrikulære sager Notat om håndtering af aktualitet i matrikulære sager Ajourføring - Ejendomme J.nr. Ref. lahni/pbp/jl/ruhch Den 7. marts 2013 Introduktion til notatet... 1 Begrebsafklaring... 1 Hvorfor er det aktuelt

Læs mere

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...

Læs mere

K e n d e l s e: Ved skrivelse af 3. juli 2009 har Revisortilsynet klaget over revisionsvirksomheden R v/ RR og statsautoriseret revisor RR.

K e n d e l s e: Ved skrivelse af 3. juli 2009 har Revisortilsynet klaget over revisionsvirksomheden R v/ RR og statsautoriseret revisor RR. Den 12. april 2010 blev i sag nr. 39/2009 Revisortilsynet mod Revisionsvirksomheden R, CVR-nr...., v/ RR og Statsautoriseret revisor RR afsagt sålydende K e n d e l s e: Ved skrivelse af 3. juli 2009 har

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

GML-HR A/S CVR-nr.:

GML-HR A/S CVR-nr.: Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov for leverancen af rekrutteringsydelser i perioden

Læs mere

Sotea A/S. CVR nr.: 10 08 52 25. Marts 2016

Sotea A/S. CVR nr.: 10 08 52 25. Marts 2016 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-02-2015 til 31-01-2016 Sotea A/S CVR nr.: 10

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

FRONTSAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONTSAFE A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2016 FRONTSAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Frontsafe Cloud backup ydelser. Beierholm Statsautoriseret Revisionspartnerselskab

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Retsudvalget 2014-15 REU Alm.del endeligt svar på spørgsmål 104 Offentligt

Retsudvalget 2014-15 REU Alm.del endeligt svar på spørgsmål 104 Offentligt Retsudvalget 2014-15 REU Alm.del endeligt svar på spørgsmål 104 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Dato: 25. november 2014 Kontor: Formueretskontoret Sagsbeh: Helene Hvid

Læs mere

Informationssikkerhedspolitik for Svendborg Kommune

Informationssikkerhedspolitik for Svendborg Kommune Informationssikkerhedspolitik for Svendborg Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Svendborg Byråd fastlægger

Læs mere

I e-mail af 12. december 2013 har I klaget over Kommunens overkørselstilladelse af 18. november 2013 til ejendommen O vej 36A.

I e-mail af 12. december 2013 har I klaget over Kommunens overkørselstilladelse af 18. november 2013 til ejendommen O vej 36A. Dato 17. juni 2014 Dokument 13/23814 Side Etablering af en ny udvidet overkørsel I e-mail af 12. december 2013 har I klaget over Kommunens overkørselstilladelse af 18. november 2013 til ejendommen O vej

Læs mere

Bofællesskaberne Edelsvej

Bofællesskaberne Edelsvej Ledelsessystemcertificering 16. september 2013 Certificeringens dækningsområde DNV teamleader: Auditteam: Drift af døgninstitution for voksne med psykisk handicap Søren Hald Søren Hald Projektnr.:PRJC-140725-2009-MSC-DNK

Læs mere

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...

Læs mere

VEDTÆGTER. Psykiatri Plus A/S Centre, CVR-nr. 31 15 92 45. Dateret 23. december 2015

VEDTÆGTER. Psykiatri Plus A/S Centre, CVR-nr. 31 15 92 45. Dateret 23. december 2015 Advokatpartnerselskab Kalvebod Brygge 39-41 DK - 1560 København V Telefon: +45 33 300 200 Fax: +45 33 300 299 www.lundelmersandager.dk CVR nr. 32 28 39 34 Erik Hovgaard Partner, advokat (H) eh@lundelmersandager.dk

Læs mere

UANMODEDE HENVENDELSER (SPAM)

UANMODEDE HENVENDELSER (SPAM) UANMODEDE HENVENDELSER (SPAM) VIDEN RÅDGIVNING SERVICE TRYGHED INDHOLD 1. Kort fortalt... 3 2. Uanmodede henvendelser.... 3 3. Nærmere om samtykke til henvendelse.... 7 3.1. Krav om forudgående samtykke...

Læs mere

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid. Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

CVR-nr. 11 68 98 33. Sagfører H. Toftkilds Legat af 1926 Årsregnskab m.v. 2013

CVR-nr. 11 68 98 33. Sagfører H. Toftkilds Legat af 1926 Årsregnskab m.v. 2013 CVR-nr. 11 68 98 33 Sagfører H. Toftkilds Legat af 1926 Årsregnskab m.v. 2013 Indholdsfortegnelse Årsregnskab 2013 1-8 Bilag til selvangivelsen 2013 1-4 Side 11 68 98 33 Sagfører H. Toftkilds Legat af

Læs mere

GENEREL KRAVSPECIFIKATION TILLÆG

GENEREL KRAVSPECIFIKATION TILLÆG BRUGERPORTALSINITIATIVET BRUGERPORTALSINITIATIVET GENEREL KRAVSPECIFIKATION TILLÆG Læringsplatforme - Brugerportalsinitiativet INFORMATIONSSIKKERHED OG SIKRING AF PERSONDATA Brugerportalsinitiativet Side

Læs mere

Indgåelse af aftaler med sikkerhedsmæssigt indhold

Indgåelse af aftaler med sikkerhedsmæssigt indhold Indgåelse af aftaler med sikkerhedsmæssigt indhold Indsæt billede her 8,1 cm. højt x 16,3 cm. bredt - Differentiering af krav i henhold til type Sessionen Baggrund samt erfaringer fra tilsyn De lovmæssige

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

ISRE 2400 (ajourført), Opgaver om review af historiske regnskaber

ISRE 2400 (ajourført), Opgaver om review af historiske regnskaber IFAC Board ISRE 2400 (ajourført) September 2012 International standard om reviewopgaver ISRE 2400 (ajourført), Opgaver om review af historiske regnskaber International Auditing and Assurance Standards

Læs mere

Roskilde Sprogcenter. Revisionsprotokollat af 24. marts 2010 til årsrapporten for 2009 (side 35-40)

Roskilde Sprogcenter. Revisionsprotokollat af 24. marts 2010 til årsrapporten for 2009 (side 35-40) Roskilde Sprogcenter Revisionsprotokollat af 24. marts 2010 til årsrapporten for 2009 (side 35-40) Indholdsfortegnelse 1. Revision af årsrapporten for 2009 35 1.1 Indledning 35 1.2 Konklusion på det udførte

Læs mere

Forbuddet mod ansættelse omfatter dog ikke alle stillinger. Revisor er alene begrænset fra at:

Forbuddet mod ansættelse omfatter dog ikke alle stillinger. Revisor er alene begrænset fra at: Krav om cooling off-periode for alle (også SMV) revisorer inden ansættelse i tidligere reviderede virksomheder Det nye ændringsdirektiv om lovpligtig revision af årsregnskaber og konsoliderede regnskaber

Læs mere

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved

Læs mere

Kravspecifikationen er udformet med vekslende tekstuel beskrivelse af behov og krav og de relevante behov og krav.

Kravspecifikationen er udformet med vekslende tekstuel beskrivelse af behov og krav og de relevante behov og krav. 18. marts 2013 KMJ NOTAT SAPA Udbudsbilag Til brug for SAPA udbudsforretning udarbejdes følgende bilag: Bilag 0 Definitioner I dette bilag vil de definitioner som benyttes i kontrakten og på tværs af bilagene

Læs mere

Samarbejde om arbejdsmiljø på midlertidige eller skiftende arbejdssteder på bygge- og anlægsområdet

Samarbejde om arbejdsmiljø på midlertidige eller skiftende arbejdssteder på bygge- og anlægsområdet Samarbejde om arbejdsmiljø på midlertidige eller skiftende arbejdssteder på bygge- og anlægsområdet At-vejledning F.3.4 Maj 2011 Erstatter At-vejledning F.2.7 Sikkerheds- og sundhedsarbejde på midlertidige

Læs mere

Bilag 1 Databehandlerinstruks

Bilag 1 Databehandlerinstruks Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Beskatning af fri telefon den systemmæssige understøttelse

Beskatning af fri telefon den systemmæssige understøttelse Beskatning af fri telefon den systemmæssige understøttelse Version 1.1 1. Beskatning af fri telefon Med virkning fra 1. januar 2012 er beskatning af arbejdsgiverbetalt telefon, computer m.v. blevet ændret.

Læs mere

Procedure for ansættelse af nye medarbejdere

Procedure for ansættelse af nye medarbejdere Procedure for ansættelse af nye medarbejdere Formål Denne procedure beskriver retningslinjerne for, hvordan Hotel- og Restaurantskolen håndterer: rekruttering af nye medarbejdere annoncering af ledige

Læs mere

FÆLLES UDBUD AF ØKONOMI- OG LØNSYSTEM VISIONSPAPIR

FÆLLES UDBUD AF ØKONOMI- OG LØNSYSTEM VISIONSPAPIR FÆLLES UDBUD AF ØKONOMI- OG LØNSYSTEM VISIONSPAPIR ØKONOMI- OG LØNSYSTEM VISIONSPAPIR Revision Dato Udarbejdet af Kontrolleret af Godkendt af Beskrivelse 0.5 2016-03-04 ASHD, BDK Første udkast på baggrund

Læs mere

Samarbejdsaftale mellem Finanstilsynet og Forbrugerombudsmanden vedrørende finansielle virksomheder

Samarbejdsaftale mellem Finanstilsynet og Forbrugerombudsmanden vedrørende finansielle virksomheder Finanstilsynet Forbrugerombudsmanden Den 2. september 2013 Samarbejdsaftale mellem Finanstilsynet og Forbrugerombudsmanden vedrørende finansielle virksomheder Som følge af ændringerne i markedsføringsloven

Læs mere

Rigsrevisionens notat om beretning om SKATs forvaltning af og Skatteministeriets tilsyn med refusion af udbytteskat

Rigsrevisionens notat om beretning om SKATs forvaltning af og Skatteministeriets tilsyn med refusion af udbytteskat Rigsrevisionens notat om beretning om SKATs forvaltning af og Skatteministeriets tilsyn med refusion af udbytteskat Juni 2016 18, STK. 4-NOTAT TIL STATSREVISORERNE 1 Vedrører: Statsrevisorernes beretning

Læs mere

1. INDLEDNING 2. TJENESTEN

1. INDLEDNING 2. TJENESTEN 1. INDLEDNING 2. TJENESTEN 1. Disse brugsvilkår vedrører og fastlægger din ret til adgang og brug af tjenesten Pointvoucher ("Tjenesten"). Tjenesten stilles til rådighed af WR Services ApS, Mølbakvej 5,

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

1 Informationssikkerhedspolitik

1 Informationssikkerhedspolitik Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering

Læs mere

Opdateret vejledning - kønsmæssige sammensætning af ledelsen og afrapportering herom

Opdateret vejledning - kønsmæssige sammensætning af ledelsen og afrapportering herom Deloitte Opdateret vejledning - kønsmæssige sammensætning af ledelsen og afrapportering herom Erhvervsstyrelsen har udsendt en opdateret vejledning om måltal og politikker for den kønsmæssige sammensætning

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

Nyheder og vejledning til version 2014.1

Nyheder og vejledning til version 2014.1 Indledning - Magnus:Revision 3 Kvalitetssikring af revisionsprocessen på en effektiv og fleksibel måde 3 Løbende opdatering 3 Stærkt fagligt indhold 3 Stor fleksibilitet 3 Nyheder og vejledning til version

Læs mere

LÆSØ NATURA-2000 LODSEJERFORENING F.M.B.A. UDSKRIFT AF REVISIONSPROTOKOL SIDE 5-8 VEDRØRENDE ÅRSREGNSKABET 2015

LÆSØ NATURA-2000 LODSEJERFORENING F.M.B.A. UDSKRIFT AF REVISIONSPROTOKOL SIDE 5-8 VEDRØRENDE ÅRSREGNSKABET 2015 Tlf: 99 89 14 00 BDO Statsautoriseret revisionsaktieselskab saeby@bdo.dk Sæbygårdvej 25 www.bdo.dk DK-9300 Sæby CVR-nr. 20 22 26 70 LÆSØ NATURA-2000 LODSEJERFORENING F.M.B.A. UDSKRIFT AF REVISIONSPROTOKOL

Læs mere

Høring af ændring af bekendtgørelse om ledelse, styring og administration af danske UCITS

Høring af ændring af bekendtgørelse om ledelse, styring og administration af danske UCITS Finanstilsynet Århusgade 2100 København Ø Att. Martin Schultz København, den 28. maj 2014 Høring af ændring af bekendtgørelse om ledelse, styring og administration af danske UCITS Finanstilsynet har ved

Læs mere

KOMMISSIONENS GENNEMFØRELSESDIREKTIV (EU)

KOMMISSIONENS GENNEMFØRELSESDIREKTIV (EU) L 332/126 DIREKTIVER KOMMISSIONENS GENNEMFØRELSESDIREKTIV (EU) 2015/2392 af 17. december 2015 om Europa-Parlamentets og Rådets forordning (EU) nr. 596/2014 for så vidt angår indberetning af faktiske eller

Læs mere

DANSK SELSKAB FOR MEKANISK DIAGNOSTIK OG TERAPI PETER FABERS VEJ 45, 2. TH., 8210 ÅRHUS V 16. REGNSKABSÅR

DANSK SELSKAB FOR MEKANISK DIAGNOSTIK OG TERAPI PETER FABERS VEJ 45, 2. TH., 8210 ÅRHUS V 16. REGNSKABSÅR Tlf.: 75 18 16 66 BDO Statsautoriseret revisionsaktieselskab esbjerg@bdo.dk Bavnehøjvej 6 www.bdo.dk DK-6700 Esbjerg CVR-nr. 20 22 26 7020222670 DANSK SELSKAB FOR MEKANISK DIAGNOSTIK OG TERAPI PETER FABERS

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens

Læs mere

Vejledning til rapport om udbud af spil 1/5

Vejledning til rapport om udbud af spil 1/5 Vejledning til rapport om udbud af spil 1/5 Generelt Rapporten skal udarbejdes i henhold til 43, stk. 1 i lov om spil, og skal redegøre for, om indehavere af tilladelse til at udbyde online væddemål og/eller

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Vejledning for surveyors og Akkrediteringsnævn

Vejledning for surveyors og Akkrediteringsnævn Vurderingsprincipper i DDKM for praktiserende speciallæger Vejledning for surveyors og Akkrediteringsnævn Institut for Kvalitet og Akkreditering i Sundhedsvæsenet 1. Indledning... 3 1.1 Målet med vurderingen...

Læs mere

Ringkjøbing Landbobank s Adfærdskodeks (Code of Conduct)

Ringkjøbing Landbobank s Adfærdskodeks (Code of Conduct) Ringkjøbing Landbobank s Adfærdskodeks (Code of Conduct) Indledning Bestyrelsen i Ringkjøbing Landbobank ønsker med dette Adfærdskodeks at udstikke er række regler og retningslinjer til bankens medarbejdere

Læs mere

Ledelsesgrundlag. Baggrund. Allerød Kommune

Ledelsesgrundlag. Baggrund. Allerød Kommune Ledelsesgrundlag Allerød Kommune Forvaltningen Byrådssekretariatet Bjarkesvej 2 3450 Allerød Tlf: 48 100 100 kommunen@alleroed.dk www.alleroed.dk Baggrund Allerød Kommune gennemførte 1. januar 2011 en

Læs mere

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 www.pwc.dk Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 Indhold 1. Ledelsens udtalelse... 3 2. Uafhængig revisors

Læs mere

TechBiz ApS CVR-nr.:

TechBiz ApS CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelser i perioden 01-02-2017 til 31-01-2018 ISAE 3402-II TechBiz ApS

Læs mere

2.2 Selskabet skal sikre, at spildevandsforsyningen drives effektivt under hensyntagen til forsyningssikkerhed, sundhed, natur og miljø.

2.2 Selskabet skal sikre, at spildevandsforsyningen drives effektivt under hensyntagen til forsyningssikkerhed, sundhed, natur og miljø. Horten Advokat Rikke Søgaard Berth Philip Heymans Allé 7 2900 Hellerup Tlf +45 3334 4000 Fax +45 3334 4001 J.nr. 149563 UDKAST 13.03.11 VEDTÆGTER FOR SOLRØD SPILDEVAND A/S CVR-nr. 33 04 69 87 1. SELSKABETS

Læs mere

VEDTÆGTER. for. Glunz & Jensen Holding A/S (CVR-nr. 10 23 96 80)

VEDTÆGTER. for. Glunz & Jensen Holding A/S (CVR-nr. 10 23 96 80) VEDTÆGTER for Glunz & Jensen Holding A/S (CVR-nr. 10 23 96 80) 1 Selskabets navn og formål 1.1 Navn Selskabets navn er Glunz & Jensen Holding A/S. 1.2 Formål Selskabets formål er at besidde kapitalandele

Læs mere