ITS (IT-Supportcentret) ISAE 3402 Type 2

Størrelse: px
Starte visningen fra side:

Download "ITS (IT-Supportcentret) ISAE 3402 Type 2"

Transkript

1 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax ITS (IT-Supportcentret) ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til driftsog hostingydelser i perioden til Medlem af Deloitte Touche Tohmatsu Limited

2 Deloitte 1 Indholdsfortegnelse Side 1. Uafhængig revisors erklæring 1 2. Udsagn fra ITS 4 3. Systembeskrivelse fra ITS Introduktion Beskrivelse af ITS ydelser Formål med ITS Ansvar og organisering hos ITS Risikostyring hos ITS Kontrol framework, kontrolstruktur og kriterier for kontrolimplementering Backup / Restore Fysisk adgang og sikkerhed Sikring mod miljømæssige hændelser Beredskabsplanlægning It Governance Sikkerhedsadministration Logisk adgang Ændringshåndtering af netværk og kommunikationssoftware Ændringshåndtering af system software Komplementerende brugerorganisationskontroller Forhold, som skal iagtages af medlemsskolernes revisorer Information distribueret af Deloitte Introduktion Kontrolmiljøelementer Test af kontroller Sikkerhed: Kontrolmål og kontrolaktiviteter 18

3 Deloitte 1 1. Uafhængig revisors erklæring Til ledelsen hos ITS, ITS medlemsinstitutioner og deres revisorer Omfang Vi har fået til opgave at erklære os vedrørende ITS udsagn i afsnit 2 samt de tilhørende beskrivelser af system- og kontrolmiljøet i afsnit 3 for ITS drifts- og hostingydelser, omfattende design og implementering og effektivitet af kontroller anført i beskrivelsen. ITS beskrivelse omhandler de kontroller, som er etableret til sikring af system-, data- og driftsikkerheden for hostede applikationer og tilhørende infrastruktur på de serviceydelser, som varetages af ITS (generelle it-kontroller). Erklæring omfatter følgende tilsluttede institutioner: Grenå Gymnasium Egå Gymnasium Randers HF & VUC Århus Akademi Paderup Gymnasium Vesthimmerlands Gymnasium & HF Odder Gymnasium Støvring Gymnasium Marselisborg Gymnasium Aalborg Katedralskole Viby Gymnasium VUC Djursland Aarhus Katedralskole Social- og Sundhedsskolen i Århus Århus Statsgymnasium Social- og Sundhedsskolen i Randers Langkær Gymnasium Silkeborg Social- og Sundhedsskole Risskov Gymnasium Social- og Sundhedsskolen Skive, Thisted, Viborg ITS ansvar ITS er ansvarlig for udarbejdelse af efterfølgende udsagn i afsnit 2 samt beskrivelse af system- og kontrolmiljøet i afsnit 3. ITS er endvidere ansvarlig for sikring af beskrivelsens fuldstændighed og nøjagtighed, herunder at sikre en korrekt fremstilling og præsentationen af udsagn og beskrivelse i denne erklæring. Det er endvidere ITS ansvar at levere de ydelser, som beskrivelsen omfatter og at udforme, designe og implementere effektive kontroller for at opnå de identificerede kontrolmål. ITS er ikke ansvarlig for arbejdsprocesser og kontroller, som udføres hos de tilsluttede institutioner, med mindre dette specifikt fremgår af samarbejdsaftalerne.

4 Deloitte 2 Revisors ansvar Det er revisionens ansvar at udtrykke en konklusion om ITS udsagn, herunder om beskrivelse af system- og kontrolmiljøet er korrekt, om udførte kontroller er designet til at imødegå de formulerede kontrolmåls identificerede risici, og at kontrollerne er implementeret i organisationen hos ITS, samt om kontrollerne har fungeret effektivt i perioden, som erklæringen omfatter. Revisionen er udført i overensstemmelse med revisionsstandard ISAE 3402, Erklæringsopgaver om kontroller hos serviceleverandør. Denne standard kræver, at vi opfylder etiske krav samt planlægger og udfører vores revision med henblik på at opnå en høj, men ikke fuldstændig sikkerhed for vores konklusion om, at beskrivelsen af system- og kontrolmiljøet i al væsentlighed fremstår rimelig, at de etablerede kontroller er udført som beskrevet, og at kontrollerne er effektive for revisionsperioden. En erklæringsopgave af denne type omfatter vores vurdering af beskrivelsen, design og effektiviteten af kontroller hos serviceleverandøren, herunder udførelse af procedurer med henblik på at opnå bevis for serviceleverandørens beskrivelse af sit system. De udvalgte procedurer afhænger af vores vurdering af risikoen for, at beskrivelsen ikke fremstår dækkende, og at kontrollerne derfor ikke er hensigtsmæssigt designet eller fungerer effektivt. Systemrevisionen gennemføres ved interview, observationer samt analyse og vurdering dels af de anførte beskrivelser og dels af de etablerede kontroller hos ITS. Vi har stikprøvevis efterprøvet de beskrevne kontrolforanstaltninger med henblik på at efterprøve kontrollernes implementering og effektivitet for revisionsperioden. Stikprøver og andre revisionshandlinger er fastsat ud fra en risiko- og væsentlighedsvurdering, som vi anser som nødvendige for at opnå rimelig sikkerhed for, at vores konklusion er korrekt. I det omfang vi i vores gennemgang af ledelsens beskrivelse og kontroller er blevet bekendt med forhold vedrørende ITS generelle it-kontroller, it-baserede brugersystemer samt it-systemer til udveksling af data, som er i strid med god it-skik, har vi oplyst herom i konklusionen. Det er vores opfattelse, at det udførte arbejde giver et tilstrækkeligt grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør ITS beskrivelse er udarbejdet med henblik på at imødekomme kravene fra tilsluttede institutioner og disses revisorer. Kontroller i en servicevirksomhed kan i sagens natur ikke forhindre eller opdage alle fejl eller udeladelser i proces- eller rapporteringstransaktioner. Derudover er forskydningen af effektivitetsvurdering udsat for den risiko, at kontroller i en servicevirksomhed kan blive utilstrækkelige eller fejle.

5 Deloitte 3 Endvidere vil en anvendelse af vores konklusion på efterfølgende perioders transaktioner være undergivet en risiko for, at der foretages ændringer af systemer eller kontroller, eller i ITS overholdelse af de beskrevne politikker og procedurer, hvorved vor konklusion muligvis ikke længere vil være gældende. Konklusion Vores konklusion er udformet på basis af de forhold, der er beskrevet i denne erklæring. De kriterier, som vi har anvendt i forbindelse med vores konklusion er beskrevet i afsnit 4. På grundlag af den udførte revision er det vores vurdering, at: a) beskrivelsen af de generelle it-kontroller med relevans for system-, data- og driftssikkerheden for ITS tilsluttede institutioner, således som de var udformet og implementeret i perioden , i alle væsentlige henseender er retvisende b) kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden c) de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået, i alle væsentlige henseender har fungeret effektivt i hele perioden Beskrivelse af test af kontroller De specifikke kontroller, der blev testet samt arten, den tidsmæssige placering og resultatet af disse tests fremgår af afsnit 4. Tiltænkte brugere og formål Denne erklæring, beskrivelse af system- og kontrolmiljø i afsnit 3 samt vores test af kontroller i afsnit 4 er udelukkende tiltænkt ledelsen på de institutioner, der har anvendt ITS ydelser og disses revisorer, som har tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om skolernes egne kontroller, når de fastlægger de risici for væsentlige fejlinformationer i ITS skolernes regnskaber. København, den 28. februar 2013 Deloitte Statsautoriseret Revisionspartnerselskab Arne Joensen statsautoriseret revisor, CISA

6

7

8 Deloitte 6 3. Systembeskrivelse fra ITS 3.1 Introduktion Denne beskrivelse er udfærdiget med henblik på at levere information til brug for IT-Supportcentrets (ITS) medlemmer og disses revisorer i overensstemmelse med kravene revisionsstandard ISAE 3402 for erklæringsopgaver om kontroller hos en serviceleverandør. Beskrivelsen omfatter information om system- og kontrolmiljøet, som er etableret i og omkring ITS it-ydelser, der leveres til de tilsluttede medlemsinstitutioner. Nærværende beskrivelse indeholder beskrivelser af de anvendte procedurer til sikring af en betryggende afvikling af systemer. Formålet er at give tilstrækkelige informationer til at de tilsluttede medlemmers revisorer selvstændigt kan vurdere afdækningen af risici for kontrolsvagheder i kontrolmiljøet i det omfang, det kan medføre en risiko for væsentlige fejl i de tilsluttede medlemmers regnskab. 3.2 Beskrivelse af ITS ydelser ITS varetager it-drift for en række gymnasier, SOSU-skoler og VUC er i Midt- og Nordjylland. Værtsinstitution for ITS er VIA University College (VIA). Her ligger opgaven hos it-afdelingen, herefter kaldet VIA IT Formål med ITS ITS er et administrativt it-fællesskab mellem uddannelsesinstitutioner. ITS er overordnet set baseret på Undervisningsministeriets standardaftale for administrative/tekniske servicefællesskaber. Grundlaget i samarbejdet er en samarbejdsaftale med tilhørende bilag. Det aktuelle ydelseskatalog er et af disse bilag. Formålet med ITS er at forsyne skoler med tidssvarende og rationelle pædagogiske og administrative it-ydelser. ITS skal endvidere sikre den enkelte skole adgang til en professionel it-organisation, som gennem målrettet erfarings- og vidensarbejde, er i stand til at bistå skolerne i forhold til de itdispositioner, som de måtte foretage. ITS komplette udbud af it-ydelser er beskrevet i et ydelseskatalog. Ydelserne er grupperet i ydelsespakker. Dette dokument omhandler hovedsageligt ydelser fra pakkerne: Administrationspakken Uddannelsesnettet Herunder oplistes de elementer i pakkerne, der er omfattet af denne systembeskrivelse.

9 Deloitte Automatiseret brugeradministration (fra Administrationspakken) ITS trækker automatisk informationer fra skolernes administrative systemer om lærere, elever og hold. Disse informationer er grundlaget for integration og brugeroprettelse på en række af ITS ydelser Fil- og print (fra Administrationspakken) Alle administrative medarbejdere er oprettet på ITS filserver. Dette giver brugerne adgang til administrationsnettet med en personlig brugerkonto. Der er adgang til print og diverse personlige drev samt fællesdrev. Print-delen er ikke omfattet af dette dokument Studieadministrativt system (fra Administrationspakken) Skolerne kan tilkøbe hosting af et studieadministrativt system. ITS er driftsansvarlig for hosting af Ludus. ITS sikrer, at systemerne er opdateret, og at der tages backup Backup (fra Administrationspakken) Alle administrative data, der er gemt på ITS filserver, er omfattet af en revisionspåtegnet backupløsning Antivirus (fra Uddannelsesnettet) Alle skolernes computere er omfattet af en fælles antivirus-løsning. ITS sikrer, at denne hele tiden er opdateret Netværkssikkerhed (fra Uddannelsesnettet) Uddannelsesnettet udgør med sine mange brugere et omfattende netværksfællesskab. Nettet er vitalt for skolernes it-drift. Ligeledes er det af afgørende betydning at sikkerheden på Uddannelsesnettet er i overensstemmelse med de til enhver tid gældende krav fra myndighedernes side. Af hensyn til at sikre såvel stabil drift som sikkerheden generelt er der etableret en række sikkerhedsmæssige foranstaltninger, som gør det muligt for ITS løbende at overvåge Uddannelsesnettet Infrastruktur (fra Uddannelsesnettet) Med uddannelsesnettet får skolen følgende net stillet til rådighed på skolen: Administrationsnettet - det net der anvendes i administrationen (administrationspakken) Undervisningsnettet - det net der anvendes i undervisningen (undervisningspakken) Skolenet - Trådløs sikker internet. Anvendes til at give eleverne adgang til Internettet fra medbragte bærbare computere. Ip-telefoni - Det net der anvendes til ip-telefoni-ydelsen ITS overvåger netværket og sikrer en høj oppetid. Nærværende systembeskrivelse omfatter alene de ovennævnte ydelser.

10 Deloitte 8 Derudover tilbyder ITS konsulentassistance på en række områder, som ikke er omfattet af systemrevisionen. 3.3 Ansvar og organisering hos ITS Pr. ultimo 2012 er ITS organiseret, jf. nedenstående diagram:

11 Deloitte 9 VIA IT er organiseret således: 3.4 Risikostyring hos ITS Der gennemføres en årlig risikovurdering der sigter mod ITS (og VIAs) forretningskritiske tjenester. Vurderingen udarbejdes af VIA IT. På baggrund af vurderingen udarbejder og vedligeholder VIA IT en beredskabsplan samt en række it-politikker, der fastlægger retningslinjer for en række it-tjenester. Til sammen udgør risikovurderingen, beredskabsplanen og politikkerne ITS og VIAs itsikkerhedspolitik. Processen for udarbejdelse og vedligeholdelse it-sikkerhedspolitikkerne faciliteters af it-chefen, der udarbejder udkast til professionshøjskoledirektøren som forestår godkendelsen af politikken. På operationelt projektniveau gennemføres løbende risikostyring. Ansvaret for den løbende risikostyring er placeret hos VIA ITs driftsleder. 3.5 Kontrol framework, kontrolstruktur og kriterier for kontrolimplementering It-sikkerhedspolitikken omfatter alle systemer og ydelser, der er omfattet af risikovurderingen. Det løbende arbejde med forbedring af såvel fysisk som logisk sikkerhed, driftsafvikling, nød- /beredskabsplanlægning og support af it-infrastrukturen, samt udførelse af kontroller, sker løbende i samarbejde med højt kvalificerede specialister fra førende firmaer i it-branchen.

12 Deloitte 10 VIA IT anvender et kontrol framework, baseret på CobiT samt best practice for minimering af risici i daglig drift af systemerne. Med udgangspunkt i denne kontrolmodel er system- og kontrolmiljøet på de hostede miljøer etableret på følgende kontrolområder: Backup / Restore Fysisk adgang og sikkerhed Sikring mod miljømæssige hændelser Beredskabsplanlægning It Governance Sikkerhedsadministration Logisk adgang (kun på operativsystem niveau) Ændringshåndtering af netværk og kommunikationssoftware Ændringshåndtering af system software Nedenfor er de enkelte kontrolområder nærmere beskrevet Backup / Restore Formål Data sikkerhedskopieres, opbevares og kan fremskaffes i overensstemmelse med gældende lovgivning og de tilsluttede medlemmers behov. Anvendte procedurer og kontroller Der er udarbejdet en udførlig beskrivelse af backupproceduren. Backupproceduren er en del af den natlige kørsel og er således automatiseret i systemet. Eneste manuelle rutine i forbindelse med backup er periodiske skift af bånd og justeringer på backuptidspunkter for at undgå spidsbelastninger på netværk og backupsystemet. Backuppen foretages til virtuelle bånd i et harddisksystem. Enkelte backupper arkiveres dog på bånd. Disk- og båndsystem befinder sig ikke på samme adresse, som de kørende systemer, for at undgå datatab ved brand og andre katastrofer. Recovery fra backup testes jævnligt, idet der udføres recovery-tests hver anden måned af et tilfældigt valgt studieadministrativt system. Har der fornylig været udført en recovery til det kørende system, f.eks. af en database, regnes det som en udført recovery-test. De medarbejdere, der er ansvarlige for at udføre recoverytests er de samme som arbejder med pågældende system til dagligt.

13 Deloitte Fysisk adgang og sikkerhed Den fysiske adgang til lokaler, hvor systemer driftes, håndteres ud fra beredskabsplanens forskrifter. Beredskabsplanen er udarbejdet på grundlag af en risikoanalyse, der identificerer arten af de ydre påvirkninger, der kan true it-udstyr og data. Ligeledes er sandsynligheden for disse hændelser taget med i vurderingerne. Der findes to datacentre/serverrum, ét i VIAs Campus Aarhus N og ét i Campus Holstebro. I Campus Holstebro ligger også et serverrum med backupsystemet. Det er placeret på en anden fysisk beliggenhed end selve datacentrets serverrum. Det er sikret, at kun relevante medarbejderes kort + pinkode giver adgang til serverrummene. Derudover er der i hver af campusserne en række kontorlokaler, hvor VIA ITs medarbejdere arbejder. Adgangen til bygningerne og de enkelte lokaler styres af et adgangskontrolsystem med elektroniske kortlæsere Sikring mod miljømæssige hændelser Der er iværksat en række tiltag der sikrer serverrummene mod hændelser fra omgivelserne, som f.eks. brand, strømafbrydelse, vandskade eller tyveri. En nærmere beskrivelse af disse sikringstiltag findes i VIA ITs beredskabsplan. Af beskyttende tiltag kan her nævnes: UPS, nødgenerator, dublerede køleanlæg, brandslukningsanlæg og hævede gulve, røg-, tyveri- og fugtalarmer, elektronisk adgangskontrol. Der føres dagligt tilsyn med serverrummene og udstyret under en dukseordning, hvor driftsmedarbejderne på skift har tilsynsopgaven. Duksen sørger også for at holde rummet ryddeligt. Der er tegnet serviceaftaler på brandslukningsanlæg, UPS, køleanlæg og nødstrømsgenerator med eksterne leverandører. Disse udfører periodiske kontroller af systemerne. Dette dokumenteres med servicerapporter efter besøgene Beredskabsplanlægning Formål Beredskabsplanen er en plan for hvilke handlinger, der skal til for at opretholde eller retablere itdriften efter at en katastrofe er indtruffet. Beredskabsplanen er udarbejdet på grundlag af en risikoanalyse, der identificerer arten af de ydre påvirkninger, der kan true it-udstyr og data. Ligeledes er sandsynligheden for disse hændelser taget med i risikoanalysen. Såvel risikoanalysen som beredskabsplanen revurderes årligt, eller oftere hvis indtrufne omstændigheder taler derfor.

14 Deloitte It Governance VIA ITs sikkerhedspolitik bygger på såvel risikoanalyse som beredskabsplan. Politikkerne kan opdeles i to hovedgrupper: De brugerrettede og dem til internt brug. De interne politikker fastlægger regler for de daglige driftsrutiner og it-medarbejdernes sikkerhedsmæssige adfærd. De interne sikkerhedspolitikker er ens for VIA og ITS, da det er de samme driftsvilkår, der gælder for begge organisationer, dvs. samme driftsmedarbejdere, samme serverrum, samme hardware osv. De brugerrettede politikker fastsætter regler for brugernes sikkerhedsmæssige adfærd og de krav, der stilles fra centralt hold vedrørende it-udstyr og software hos brugerne. Brugerpolitikkerne i ITS er forevist ITS styregruppe, som efterfølgende har godkendt dem. Den samlede it-politik er således en samling af enkeltpolitikker, som hver dækker et afgrænset område Sikkerhedsadministration Dette er en beskrivelse af, hvordan oprettelse, ændringer og nedlæggelse af brugerrettigheder i AD administreres og dokumenteres. ITS er kun ansvarlig for håndtering af brugere på AD niveau og håndterer ikke brugere på applikationsniveau. Brugerrettigheder Almindelige brugere (lærere og administrativt personale) af ITS ydelser bliver oprettet med almindelige brugerrettigheder i AD. Rettighederne tildeles i AD igennem sikkerhedsgruppetilhørsforhold, dvs. brugerne meldes ind i de relevante sikkerhedsgrupper under den automatiske oprettelse, og hvis de skal have udvidede rettigheder (f.eks. have tilsluttet et administrativt netværksdrev), bliver de efterfølgende manuelt meldt ind i den gruppe, der giver dem de fornødne rettigheder. Det er sjældent, at enkeltpersoner tildeles rettigheder på fil-servere. Det tilstræbes at tildele rettigheder gennem gruppemedlemskaber for overskuelighedens skyld. Oprettelse af brugerrettigheder Brugere kan blive oprettet og få tildelt brugerrettigheder på to måder: Ved en automatisk kørsel Ved en manuel oprettelse

15 Deloitte 13 Alle aktive personer, der findes i skolernes administrative systemer, bliver automatisk oprettet i brugerdatabasen. Alle elever, lærere og administrativt personale bliver ved natlige kørsler oprettet som brugere i forskellige systemer. Alle personer bliver oprettet i AD på undervisningsdomænet og i mailsystemet, mens kun de brugere, medlemsskolerne selv udpeger, bliver oprettet på det administrative domæne. Dertil kommer, at skolen ved siden af den automatiske oprettelse kan rekvirere manuel oprettelse af brugere på netværket der er her tale om brugere, der ikke eksisterer i de studieadministrative systemer. Det er primært administrativt personale. Hver skole har et antal godkendte rekvirenter, der er godkendt af den enkelte skoles ledelse, som alene kan rekvirere manuelle oprettelser, og det skal foregå via en mail sendt til ITS support-postkasse eller ved selvbetjening på ITS portal. Kun medarbejdere i it-drift har ret til manuelt at oprette brugere i AD, og det sker kun, hvis der er behov for specialkonti såsom servicekonti, ressourcepostkasser o.lign. upersonlige konti. Disse oprettes i separate OU er i forhold til de automatisk oprettede brugere. Ændring i brugerrettigheder Der foretages ikke ændringer i brugerrettigheder uden om de studieadministrative systemer/brugerdatabasen for personlige brugerkonti. Nedlæggelse af brugerrettigheder Når en automatisk oprettet bruger bliver deaktiveret i det studieadministrative system, så bliver brugeren automatisk deaktiveret i systemerne efter en fast defineret periode. De manuelt oprettede brugere bliver nedlagt, når skolen enten henvender sig til ITS og beder om at få brugeren nedlagt eller hvis skolen anvender ITS selvbetjeningsløsning. For at sikre at alle brugere er oprettet korrekt, får hver skole en gang årligt tilsendt en liste over aktive, manuelt oprettede brugere, og skolen skal ud fra denne liste markere, hvilke brugere der skal slettes, og hvilke der skal bevares. Udvidede brugerrettigheder Medarbejdere på institutionerne har rettigheder, idet de får tildelt adgang til hver enkelt skoles specielle fællesdrev. Derudover har de enkelte institutioners admin-bruger (en special-konto til hver skole) udvidede rettigheder, således at de kan administrere deres lokale brugeres hjemmedrev og skolens fællesdrev. Det bliver administreret af driftsmedarbejderne på ITS og tildeles ikke en bruger, men en funktion, dvs. at skolen udleverer selv admin-brugeren til deres bemyndigede it-person, typisk den tilknyttede supporter og/eller den lokale datavejleder.

16 Deloitte 14 En oversigt over de personer, der fra de enkelte skoler har ret til at rekvirere manuel oprettelse af brugere, findes på ITS selvbetjeningsportalen mit.supportcenter.dk. Kun en skoles ledelse kan rekvirere ændringer af indholdet på denne oversigt. Oversigten revideres hvert år i samarbejde med skolen. Sikkerhedslogning Der er i ydelseskataloget ingen krav til logning, men logning er sat op til intern brug. Der gennemføres logning af login på AD. Da mængden af logins er stor, er denne log roterende. Logs bruges mest til eventuel fejlfinding i daglig drift, men også til sporing af forsøg på indtrængen. Der foretages ugentligt stikprøvekontroller af relevante logs. It-sikkerhedsorganisation Samtlige medarbejdere i it-driftsenheden indgår i it-sikkerhedsorganisationen. Den løbende egenkontrol og dokumentation af den definerede sikkerhed udføres af medarbejderne i driftsenheden. De nærmere specificerede ansvarsområder fremgår af ansvarsfordelingen, som angivet i driftsenhedens ansvarsmatrice. ITS ledelse har ansvar for at sikre, at den definerede sikkerhed er relevant. Ledelsen har desuden ansvar for, at egenkontroller gennemføres, og at der foretages korrekt dokumentation af disse. I driftsenheden er der en turnusordning, hvor en medarbejder hver dag går en tur rundt i huset og foretager en fysisk kontrol. Følgende ting skal tjekkes: Kølerne udenfor: Kører de? Er de intakte? Serverrummene: Er temperaturen OK? Kører kølerne? Er døre og låse OK? Er der advarselslamper på harddiske eller lign.? Serverrummene holdes fri for rod og brandfarligt materiale, som f.eks. tom emballage. Krydsfelter: Er temperaturen OK? Er døre og låse OK? Er der advarselslamper? Opdages nogen uregelmæssigheder, rapporteres de til driftskoordinator, der sørger for at udbedring påbegyndes Logisk adgang Formål Den logiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med de tilsluttede medlemmers behov. Da adgangen til de studieadministrative systemer administreres af skolerne selv, omhandler dette afsnit håndteringen af adgang til det administrative domæne for skolernes brugeres adgang og itmedarbejderne i ITS.

17 Deloitte 15 Skolernes brugere Skolernes brugerkonti i Active Directory håndteres gennem brugerdatabasen og de dertil knyttede agenter. Der er indbygget en funktion til passwordskifte, der sikrer at brugerne skifter passwords med fastlagte intervaller i henhold til gældende passwordpolitik, som er beskrevet i ITS sikkerhedspolitik. Udover brugerdatabasens automatikker, styres sikkerheden også af group policies på domænet. Der er f.eks. en group policy, der sikrer mod brute force forsøg på at gætte passwords. Det fungerer ved at brugerkontoen låses i 8 minutter, hvis der tastes forkert password ind tre gange i træk. ITS medarbejdere Hvert halve år kontrolleres, at medarbejder med A-konti (domain admin) har skiftet password. Der er fastsat retningslinjer for at ændre standardpasswords på systemniveau for alt aktivt udstyr hos ITS. Interne medarbejdere, som har behov for systemrettigheder, tildeles disse rettigheder via deres A-konto. Standard-brugerkonto anvendes som udgangspunkt ikke. Screensaver En group policy sikrer, at screensaveren låser servere hvor A-konti er logget på efter 15 minutters inaktivitet, hvorefter der skal indtastes password for at låse op igen. Det er brugerkonti og ikke computere, der kan underlægges en group policy for screensavere. Da serverne tilgås gennem terminalsessioner (RDP) med A-konti, er screensaver policyen også aktiv på serverne Ændringshåndtering af netværk og kommunikationssoftware Formål Netværks- og kommunikationssoftware vedligeholdes og supporteres, og det sikres, at ændringer eller nyanskaffelser sker i overensstemmelse med ITS og medlemsskolernes behov, samt at ændringer testes og dokumenteres på tilfredsstillende vis. Anvendte procedurer og kontroller ITS har fuld dokumentation for netværk og kommunikationslinjer frem til de tilsluttede medlemmer. ITS vurderer løbende behov for opdatering af firmware på netværks- og kommunikationssoftware. For at sikre en stabil drift vil der alene ske opdateringer, såfremt det er nødvendigt for at sikre eller forbedre kommunikationen. Inden ændringer foretages tages backup af konfigurationsfilerne til netværkskomponenter. Væsentlige ændringer til netværkskonfigurationer sker om muligt udenfor normal arbejdstid, således at disse ikke forstyrrer driften unødigt.

18 Deloitte Ændringshåndtering af system software Formål System software (styresystemer) vedligeholdes og supporteres, og ledelsen sikrer, at ændringer eller nyanskaffelser sker i overensstemmelse med ITS og medlemsskolernes behov, samt at ændringer testes og dokumenteres på tilfredsstillende vis. Anvendte procedurer og kontroller For både Windows platformen, VMware, Linux og andre styresystemer indhentes fyldestgørende systemdokumentation efter behov. ITS anskaffer større, vigtige eller strategiske indkøb på baggrund af en formel projektplan/beskrivelse, som skal ledelsesgodkendes inden evt. implementering foretages. På Windows platformen hentes opdateringer fra Microsoft og installeres automatisk på serverne. Der sker en vurdering af månedens opdateringer, inden de godkendes til implementering. 3.6 Komplementerende brugerorganisationskontroller Forhold, som skal iagtages af medlemsskolernes revisorer Levering af serviceydelser Ovenstående systembeskrivelse af kontroller er baseret på ITS standardbetingelser. Det bevirker, at skolernes afvigelser fra ITS standardbetingelser ikke er omfattet af nærværende erklæring. Skolernes egne revisorer bør derfor vurdere, om denne erklæring kan anvendes på den konkrete skole og selv afdække eventulle andre risici, der vurderes som væsentlige for aflæggelse af skolernes årsregnskaber. Brugeradministration ITS varetager i forhold til brugerstyring udelukkende adgangsstyring til det overordet Windows domæne. Forhold vedrørende adgang og godkendelse af brugerrettigheder til skolernes applikationer, varetages af a-medlemsskolernes medarbejdere. Medlemsskolernes egne revisorer bør derfor selvstændigt vurdere, om tildelte adgange til applikationer er betryggende ud fra en vurdering af risici for fejl i regnskabet.

19 Deloitte Information distribueret af Deloitte 4.1 Introduktion Denne oversigt er udformet med henblik på at informere institutioner om kontroller hos ITS, som kan påvirke behandling af regnskabsmæssige transaktioner og samtidig informere om de kontroller, vi har efterprøvet. Afsnittet, når det kombineres med en forståelse og vurdering af kontrollerne i institutionernes forretningsprocesser, har til hensigt at hjælpe institutionernes revisor med dels at planlægge revisionen af årsregnskabet og dels at vurdere risici for fejl i institutionernes regnskaber, som muligvis påvirkes af kontroller hos ITS. Vores test af ITS kontroller er begrænset til de kontrolmål og relaterede kontroller, som vi har nævnt i nedenstående testskema i denne del af rapporten, og er ikke udvidet til at omfatte alle de kontroller, som måtte fremgå af ledelsens systembeskrivelse, ligesom kontroller udført hos de tilsluttede institutioner ikke er omfattet af vores systemrevision. Sidstnævnte forudsættes gennemgået og vurderet af de tilsluttede institutioners revisorer. Endelig kan der hos de tilsluttede institutioner være etableret kompenserende kontroller, som bevirker, at kontrolsvagheder nævnt i denne rapport minimeres til et revisionsmæssigt acceptabelt niveau. Denne vurdering kan alene foretages af de tilsluttede institutioners revisorer. 4.2 Kontrolmiljøelementer Vores test af kontrolmiljøet inkluderede forespørgsler hos relevant ledelse, tilsynsførende og personale samt inspektion af ITS dokumenter og registreringer. Kontrolmiljøet er vurderet mht. at bestemme karakteren, timingen og omfanget af kontrollers effektivitet. 4.3 Test af kontroller Vores test af kontrollers effektivitet inkluderer de tests, som vi betragter som nødvendige for at evaluere, hvorvidt de udførte kontroller og overholdelsen af disse er tilstrækkelige til at give en høj, men ikke absolut, overbevisning om, at de specificerede kontrolmål blev opnået i løbet af perioden til Vores test af kontrollernes effektivitet var udformet til at dække et repræsentativt antal af transaktioner i løbet af perioden til for hver kontrol, jf. nedenfor, som er designet til at opnå de specifikke kontrolmål. I udvælgelsen af specifikke tests har vi overvejet (a) karakteren af de testede områder, (b) typerne af tilgængelig dokumentation, (c) karakteren af revisionsmålene, der skal opnås, (d) det vurderede kontrolrisikoniveau og (e) testens forventede effektivitet.

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Wannafind. ISAE 3402 Type 2

Wannafind. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Wannafind ISAE 3402 Type 2

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Miracle Hosting A/S. ISAE 3402 Type 2

Miracle Hosting A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle Hosting A/S ISAE 3402

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

IT Relation A/S. ISAE 3402 Type 2

IT Relation A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk IT Relation A/S ISAE 3402 Type

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

A/S ScanNet. ISAE 3402 Type 2

A/S ScanNet. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk A/S ScanNet ISAE 3402 Type

Læs mere

Revisionsrapport Revision af generelle it-kontroller 2016

Revisionsrapport Revision af generelle it-kontroller 2016 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Københavns Kommune Koncernservice

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

Greve Kommune. Revision af generelle it-kontroller

Greve Kommune. Revision af generelle it-kontroller Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr. 4 1 37 14 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2013 August 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 15. august 2014 Formål Vi har i perioden

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring om generelle itkontroller relateret til drifts- og hosting-ydelser i perioden 1. januar 2016 til 31. december 2016 Indholdsfortegnelse Indholdsfortegnelse

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Miracle A/S. ISAE 3402 Type 2

Miracle A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle A/S ISAE 3402 Type

Læs mere

Revision i årets løb for 2016 på områderne omfattet af statsrefusion

Revision i årets løb for 2016 på områderne omfattet af statsrefusion Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk g Socialforvaltningen Att.:

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret Maj 2015 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 18. maj

Læs mere

IT-Supportcentret og itoutsourcing

IT-Supportcentret og itoutsourcing IT-Supportcentret og itoutsourcing Erfaringer og overvejelser på institutionerne og i it-drifts-fællesskaber i forbindelse med forberedelse til hel eller delvis outsourcing af it-drift. IT-chef, Mads Konge

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

30. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

30. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 30. marts 2016 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2015 Økonomi- og Stabschefchef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 30.

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

Arbejdsplan for revisionsudvalget.

Arbejdsplan for revisionsudvalget. . Introduktion Nærværende model til en arbejdsplan kan anvendes som hjælp til udarbejdelse af en specifik arbejdsplan for revisionsudvalget. Formålet med arbejdsplanen er overordnet at fastlægge antallet

Læs mere

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013 Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor 5. september 2013 Den nye revisionsmetode Køreplan til, hvordan en it-specialist kan medvirke i planlægningen (side 1 af 2) Opdatere

Læs mere

Pr. 31. december 2014

Pr. 31. december 2014 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Emini A/S Uafhængig revisors

Læs mere

Erklæring og revisionsberetning om revision af IT-Universitetet i Københavns årsrapport for Marts 2011

Erklæring og revisionsberetning om revision af IT-Universitetet i Københavns årsrapport for Marts 2011 Erklæring og revisionsberetning om revision af IT-Universitetet i Københavns årsrapport for 2010 Marts 2011 ERKLÆRING OG REVISIONSBERETNING OM REVISION AF IT-UNIVERSITETET I KØBENHAVNS ÅRSRAPPORT FOR 2010

Læs mere

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer.

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer. Thrane & Thranes bestyrelse har nedsat en revisionskomite. Revisionskomitéen Revisionskomiteens medlemmer er: Morten Eldrup-Jørgensen (formand og uafhængigt medlem med ekspertise inden for blandt andet

Læs mere

Revisionsprotokollat af 27. marts 2011

Revisionsprotokollat af 27. marts 2011 KPMG Statsautoriseret Revisionspartnerselskab AUDIT Borups Allé 177 Postboks 250 2000 Frederiksberg Telefon 38 18 30 00 Telefax 72 29 30 30 www.kpmg.dk Revisionsprotokollat af 27. marts 2011 til årsrapporten

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium 18. juni 2015 BILAG 1 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen

Læs mere

www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor

www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor Pr. 1. januar 2015 Indholdsfortegnelse 1. Tiltrædelse som revisor 3 1.1. Indledning 3 1.2. Opgaver og ansvar 3 1.2.1. Ledelsen 3 1.2.2.

Læs mere

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT. Sikker Drift Tryghed for optimal drift af virksomhedens servere og medarbejderes arbejdsstationer

Læs mere

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT. 21. september 2016 Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT. Sikker Drift Tryghed for optimal drift af virksomhedens servere og medarbejderes

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Kommissorium for revisionsudvalget i TDC A/S

Kommissorium for revisionsudvalget i TDC A/S 2. februar 2012 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen for

Læs mere

KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR

KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR. 14 70 22 04 1 Indholdsfortegnelse 1 Sammensætning... 3 2 Formand... 3 3 Valgperiode... 3 4 Beslutningsdygtighed og stemmeafgivelse...

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

A/S it-drift og hostingaktiviteter

A/S it-drift og hostingaktiviteter www.pwc.dk Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Indhold 1. Ledelsens erklæring 3 2. Outforce

Læs mere

Sikkerhedsinstruks. Indholdsfortegnelse. Version 5, Januar 2015

Sikkerhedsinstruks. Indholdsfortegnelse. Version 5, Januar 2015 Indholdsfortegnelse Indledning... 2 IT-Center Fyns Systemcenter... 2 Placering og fysisk sikkerhed... 2 Adgang til systemcentret... 2 Kommunikationslinier... 2 Internet gateway... 3 Datalagring og backup...

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

2. Overordnet IT-strategi for IT-fællesskabets. IT-strategien indeholder følgende tre udsagn:

2. Overordnet IT-strategi for IT-fællesskabets. IT-strategien indeholder følgende tre udsagn: IT STRATEGI for Kalundborg Gymnasium og HF 1. Indledning Der er ikke siden statusrapporten fra år 2000 udarbejdet en egentlig IT-strategi for Kalundborg Gymnasium og HF, men på baggrund af en række eksterne

Læs mere

Danske Forsikringsfunktionærers Landsforening

Danske Forsikringsfunktionærers Landsforening Danske Forsikringsfunktionærers Landsforening CVR-nr. 55 09 94 13 Revisionsprotokollat af 21. februar 2014 (side 40-43) vedrørende årsregnskabet for 2013 Indholdsfortegnelse Side 1. Revision af årsregnskabet

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Indledning til vejledning for intern overvågning...2. Aftaleprogram...3. Hvilke aftaler er omfattet af overvågningsprogrammet?...3

Indledning til vejledning for intern overvågning...2. Aftaleprogram...3. Hvilke aftaler er omfattet af overvågningsprogrammet?...3 FVD vejledning 09/2010 Indholdsfortegnelse Indledning til vejledning for intern overvågning...2 Praktisk vejledning til internovervågnings program....3 Aftaleprogram...3 Hvilke aftaler er omfattet af overvågningsprogrammet?...3

Læs mere

IT-Center Syd IT-Ydelseskatalog

IT-Center Syd IT-Ydelseskatalog IT-Ydelseskatalog April 2011 /PEM pem@itcsyd.dk Side 1/14 - Deres ref.: Vores ref.: Indholdsfortegnelse IT-Ydelseskatalog... 1 Indledning... 3 IT organisation... 3 Afdelingstruktur... 3 Adgang/Licenser

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING 1 Involverede parter 1.1 Virksomheden Navn: CVR.nr. Kontaktperson: Juridiske enheder omfattet af analysen: 1.2 Willis Adresse Forsikringsmægler E-mail / Telefon @willis.dk / 88 139 2 Om virksomheden 2.1

Læs mere

Dansk Træforening. Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008

Dansk Træforening. Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008 Dansk Træforening Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008 Kvæsthusgade 3 DK-1251 København K Tlf. (+45) 39 16 36 36 Fax (+45) 39 16 36 37 E-mail:copenhagen@n-c.dk Aalborg København

Læs mere

Sankt Mortens Sogns Menighedsråd

Sankt Mortens Sogns Menighedsråd Revisionsprotokollat af 09.09.14 vedrørende Årsregnskab for 2013 STATSAUTORISERET REVISIONSPARTNERSELSKAB BEIERHOLM medlem af HLB International - et verdensomspændende netværk af uafhængige revisionsfirmaer

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter.

Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter. 1. Indledning og resume: Til bestyrelsen i Fælleskassen Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter. Formålet med denne rapportering er

Læs mere

Online Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md

Online Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md Online Backup U ndgå hovedbrud hvis uheldet er ude! Med en hosted online backup løsning hos, er dine data i sikkerhed. Du kan derfor glemme alt om båndskifte og opbevaring af backup-bånd. Med online backup

Læs mere

Bilag. Region Midtjylland. Bilag til Kasse og regnskabsregulativet - Retningslinier for intern kontrol. til Regionsrådets møde den 12.

Bilag. Region Midtjylland. Bilag til Kasse og regnskabsregulativet - Retningslinier for intern kontrol. til Regionsrådets møde den 12. Region Midtjylland Bilag til Kasse og regnskabsregulativet - Retningslinier for intern kontrol Bilag til Regionsrådets møde den 12. december 2007 Punkt nr. 48 Regionshuset Viborg Regionsøkonomi Regnskabskontoret

Læs mere

A/S ScanNet. ISAE 3402 Type 2

A/S ScanNet. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk A/S ScanNet ISAE 3402 Type

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Kommissorium for bestyrelsens revisionsudvalg.

Kommissorium for bestyrelsens revisionsudvalg. Kommissorium for bestyrelsens revisionsudvalg. Introduktion Introduktion Nærværende kommissorium kan anvendes som inspiration til udarbejdelse af kommissorier for revisionsudvalg etableret som selvstændige

Læs mere

Komplementarselskabet Karlstad Bymidte ApS

Komplementarselskabet Karlstad Bymidte ApS Komplementarselskabet Karlstad Bymidte ApS Revisionsprotokollat vedrørende ansvarsforhold, revisionens omfang og rapportering (Tiltrædelsesprotokollat) PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab,

Læs mere

IT-AFDELINGEN. On-Premise Server Serviceaftale

IT-AFDELINGEN. On-Premise Server Serviceaftale IT-AFDELINGEN On-Premise Server Serviceaftale ON-PREMISE SERVER SERVICEAFTALE 24/7/365 OVERVÅGNING Sammen med It-afdelingen sikrer du dig proaktivitet og overskuelighed i driften og vedligeholdet af dine

Læs mere

November 2012. SSZ brugervejledning 20121105 01

November 2012. SSZ brugervejledning 20121105 01 It brugervejledning for Erhvervsakademi Sjælland November 2012 Indholdsfortegnelse 1. Introduktion... 4 1.1. Om it systemerne... 4 1.2. Supportmuligheder... 4 1.3. SSZ helpdesk... 4 2. Kom godt i gang...

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Dette dokument vil gennemgå de serviceforpligtelser, som leverandøren har til kunden i forbindelse med en købsaftale, forudsat der specifikt er henvist til den korrekte versionering

Læs mere

Dette IT-ydelseskatalog viser de ydelser og services du kan forvente at modtage fra IT-service og indenfor hvilken tidsramme.

Dette IT-ydelseskatalog viser de ydelser og services du kan forvente at modtage fra IT-service og indenfor hvilken tidsramme. IT-service Senest revideret 29/10-2008 af CTC IT-ydelseskatalog Dette IT-ydelseskatalog viser de ydelser og services du kan forvente at modtage fra IT-service og indenfor hvilken tidsramme. Generelt ligger

Læs mere

Dyssegårdskirken. Revisionsprotokollat af 14.08.13. Årsregnskab for 2012. vedrørende STATSAUTORISERET REVISIONSPARTNERSELSKAB

Dyssegårdskirken. Revisionsprotokollat af 14.08.13. Årsregnskab for 2012. vedrørende STATSAUTORISERET REVISIONSPARTNERSELSKAB Revisionsprotokollat af 14.08.13 vedrørende Årsregnskab for 2012 STATSAUTORISERET REVISIONSPARTNERSELSKAB BEIERHOLM medlem af HLB International - et verdensomspændende netværk af uafhængige revisionsfirmaer

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

IT-Supportcentret. Årsrapport 2012

IT-Supportcentret. Årsrapport 2012 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Arosgaarden, Åboulevarden 31 Postboks 514 8100 Aarhus C Telefon 89 41 41 41 Telefax 89 41 42 43 www.deloitte.dk Professionshøjskolen

Læs mere

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING Paradigme standard 3: Erklæring om offentlig revision 2016 Frie skoler Fuldstændigt regnskab med generelt formål efter en begrebsramme, der giver et retvisende billede. Regnskab omfattet af [indsæt relevant

Læs mere

IT sikkerhedsinstruks VUC Århus

IT sikkerhedsinstruks VUC Århus IT sikkerhedsinstruks VUC Århus Generelt Ansvar for IT sikkerhed Administrations- og økonomichefen har, overfor rektor og bestyrelse, det overordnede ansvar for IT-sikkerheden på VUC Århus, herunder sikre,

Læs mere