any.cloud A/S CVR nr.: DK

Størrelse: px
Starte visningen fra side:

Download "any.cloud A/S CVR nr.: DK 31161509"

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden til any.cloud A/S CVR nr.: DK REVI-IT A/S

2 Indholdsfortegnelse Afsnit 1: any.cloud A/S ledelseserklæring... 3 Afsnit 2: any.cloud A/S beskrivelse af hostingydelse... 4 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet...20 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf...23 REVI-IT A/S Side 2 af 33

3 Afsnit 1: any.cloud A/S ledelseserklæring Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt any.cloud A/S hostingydelser, og disses revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. bekræfter, any.cloud A/S bekræfter, at: (a) (b) Den medfølgende beskrivelse, i afsnit 2, giver en retvisende beskrivelse af any.cloud A/S hostingydelse til kunder i hele perioden fra 01.december 2013 til 30. november Kriterierne for dette udsagn var, at den medfølgende beskrivelse: (i) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder relevante kontrolmål og kontroller, udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner (ii) indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra 01.december 2013 til 30. november 2014 (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse vigtigt efter deres særlige forhold de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 01.december 2013 til 30. november Kriterierne for dette udsagn var, at: (i) (ii) (iii) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 01.december 2013 til 30. november København den 2. december 2014 Med venlig hilsen any.cloud A/S Gregor Møller CEO REVI-IT A/S Side 3 af 32

4 Afsnit 2: any.cloud A/S beskrivelse af kontrolmiljø for hostingydelse Formålet med denne beskrivelse er, at levere information til any.cloud A/S kunder og deres revisorer vedrørende kravene i den internationale revisionsstandard for erklæringsopgaver om kontroller hos en serviceleverandør, ISAE Beskrivelsen har herudover det formål at give information om de kontroller, der er anvendt for cloud tjenester hos os i perioden. Beskrivelsen omfatter de kontrolmål og kontroller hos any.cloud A/S, som omfatter størstedelen af vores kunder og er baseret på vores standardleverance. Individuelle kundeforhold er ikke medtaget i denne beskrivelse. any.cloud A/S og vores cloud tjenester any.cloud blev stiftet i 2007 og er et søsterselskab til konsulentvirksomheden anymac A/S. any.clouds primære kundegruppe er de kreative fag. Vi har specialiseret os i den grafiske branche, filmbranchen og andre kreative fag. Vi har stor viden inden for netop dette segment og deres behov. any.cloud er hosted i det 3.500m2 store InterXion Danmark i Ballerup, som er en europæisk udbyder af cloud- og operatørneutrale datacentre med over 37 datacentre fordelt på 11 lande. Vi kan i den forbindelse tilbyde alle relevante sikkerhedsforanstaltninger som f.eks. inergen anlæg, køling, redundante strømkilder og fiberlinier, og ikke mindst fuldt udstyret overvågningssystemer. any.cloud leverer kun professionelle cloud tjenester samt sikkerhed af IT og servere til dansk erhvervsliv. any.cloud har følgende primære produkter: VPS (Virtual Private Server) Online backup Cloud mail Hosted AV/spam løsninger any.cloud IT helt enkelt Vores målsætning er at levere højeste kvalitet af infrastruktur igennem de bedste leverandører fra bl.a. IBM og VMware, og præsentere dette til vores kunder via simple løsninger. Vi yder en stor indsats i at få komplicerede ting gjort simpelt for vores kunder. Ligeledes sikrer vi at kunderne får Enterprise produkter til en meget lav pris. REVI-IT A/S Side 4 af 33

5 Organisation og ansvar any.cloud har en klar og gennemsigtig virksomhedsstruktur. Bestyrelse Gregor Møller, CEO, Bestyrelsesmedlem Benjamin Elveng,CTO Administration Økonomi Drift-Support any.cloud A/S beskæftiger 9 medarbejdere, og er inddelt i afdelingerne administration, økonomi og driftsupport. Der beskæftiges yderligere medarbejdere i søsterselskabet anymac A/S som udfører al on-site support og drift af any.cloud s kunder. any.cloud s medarbejdere arbejder således på hosting infrastrukturen alene. Support modtager alle indkomne forespørgsler, og enten løser kundernes problemer, eller videregive opgaven til driftsafdelingen til bearbejdning. Driftsafdelingen fungerer dermed både som 2. line support for hotline, og håndterer herudover den praktiske implementering af nye kunder, overvåger bestående driftsløsninger og andet forbundet med den daglige drift af vores hostingmiljø. REVI-IT A/S Side 5 af 33

6 Risikovurdering og -håndtering Risikovurdering IT-risikoanalyse Vi har procedurer for løbende risikovurdering af vores forretning og specielt vores cloud tjenester. Dermed kan vi sikre, at de risici, som er forbundet med de services og ydelser, vi stiller til rådighed, er minimeret til et acceptabelt niveau. Risikovurdering foretages periodisk samt, når vi foretager ændringer eller implementerer nye systemer, som vi vurderer at være relevante til at revurdere vores generelle risikovurdering. Ansvaret for risikovurderinger er hos virksomhedens CTO og skal efterfølgende forankres og godkendes hos ledelsen. Håndtering af sikkerhedsrisici Procedure for risikohåndtering Vi har indført pointsystem på de risici, der er forbundet med levering af cloud ydelser. Vi bruger beregningsformen risiko*påvirkning med en score fra Det acceptable niveau går til 30 point. Det tages løbende op til vurdering om hvorvidt vi kan nedbringe risici og lave tiltag, der kan forbedre vores score. Sikkerhedspolitik IT-sikkerhedspolitik IT-sikkerhedspolitik-dokument Vi har defineret vores kvalitetsstyringssystem ud fra vores overordnede målsætning om at levere stabil og sikker hosting-drift til vores kunder. For at kunne gøre dette, er det nødvendigt, at vi har indført politikker og procedurer, der sikrer, at vores leverancer er ensartet og gennemsigtige. Vores it-sikkerhedspolitik er udarbejdet med reference til ovenstående, og er gældende for alle medarbejdere og for alle leverancer. Vores metodik for implementering af kontroller er defineret med reference til ISO (Regelsæt for styring af informationssikkerhed), og er dermed helt overordnet inddelt i følgende kontrolområder: Fysisk sikkerhed Hardware Datasikkerhed Logisk sikkerhed Netværk Dokumentation Servicevinduer REVI-IT A/S Side 6 af 33

7 Vi foretager løbende forbedringer af både politikker, procedurer og den operationelle drift. Vi er medlem af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), og vi bliver i den forbindelse årligt revideret for hvorvidt, vi lever op til BFIHs regelsæt, der centrerer sig om hvordan vi leverer vores driftsydelser, foretager genetablering, håndterer sikkerhedsopdatering mv. Evaluering af it-sikkerhedspolitikken Vi opdaterer løbende it-sikkerhedspolitikken, og som minimum én gang årligt. Organisering af informationssikkerhed Intern organisering Delegering af ansvar for informationssikkerhed Vi har en klart opdelt organisation hvad angår ansvar, og har udførlige ansvars- og rollebeskrivelser på alle niveauer lige fra ledelsesniveau til de enkelte driftsmedarbejdere. Der er etableret fortrolighed generelt for alle involverede i vores forretning. Dette sker via ansættelseskontrakter. Funktionsadskillelse Gennem løbende dokumentation og processer sikrer vi at kunne udelukke eller minimere nøglepersonsafhængighed. Opgaver tildeles og fastsættes via procedurer for styring af den operative drift. Kontakt med særlige interessegrupper Vi har etableret kontakt til hotline hos DK-CERT, hvor vi gensidigt har aftale om orientering ved væsentlige sikkerhedsrelaterede forhold vedrørende internettrafik. Informationssikkerhed som en del af projektstyring Mobilt udstyr og fjernarbejdspladser Mobilt udstyr og kommunikation Vi har etableret mulighed for, at vores medarbejdere kan arbejde hjemmefra af hensyn til bl.a. driftsvagt, og vi har politik for, at udstyr (bærbare mv.) ikke benyttes til andet end arbejdsrelaterede forhold og ikke efterlades uden opsyn mv. Bærbare enheder er sikret med logon, og kryptering. REVI-IT A/S Side 7 af 33

8 Vi har åbnet adgang til, at vi og vores kunder kan benytte mobile enheder (smartphones, tablets mv.) til synkronisering af mails og kalender. Ud over kode, har vi ikke implementeret andre sikkerhedsforanstaltninger til sikring af disse enheder og disses brugeradgange. Vores kunder har mulighed for samme, og det er op til vores kunder at implementere deres sikkerhedspolitik for deres brugere. Fjernarbejdspladser Adgang til vores netværk og dermed potentielt til systemer og data sker kun for autoriserede personer. Vores medarbejdere har adgang via fjernarbejdspladser, hvor der anvendes Remote Desktop og IP restriction. Sikkerhed i forhold til HR Inden ansættelse Screening Vi har procedurer for ansættelse af medarbejdere og etablering af samarbejde med eksterne, hvor vi sikrer, at vi ansætter den rigtige kandidat i forhold til baggrund og kompetence. Vi har rolle- og ansvarsbeskrivelser for medarbejdere og medarbejderkategorier, så alle er bekendte med deres ansvar. Alle medarbejdere bliver ved ansættelse gennemgået og et oprettelsesskema følges. Ansættelsesforhold Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i hver medarbejders ansættelseskontrakt hvor forhold omkring alle sider af ansættelsen, herunder ophør og sanktioner ved evt. sikkerhedsbrud, er angivet. Under ansættelse Ledelsens ansvar I forbindelse med ansættelse underskriver nye medarbejdere en kontrakt. I kontrakten er det indeholdt, at den ansatte skal overholde de til enhver tid gældende politikker og procedurer. ligledes er det klart defineret som en del af kontraktmaterialet, hvad den ansattes ansvar og rolle er. Bevisthed om, uddannelse og træning i informationssikkerhed Vores aktiver er i høj grad vores medarbejdere, og vi fører en struktureret metodik i forhold til vores medarbejderes kvalifikationer, uddannelse og certificeringer. Der afholdes løbende, dog minimum årligt, kurser, foredrag samt andre relevante aktiviteter til sikring af, at relevante medarbejdere og evt. eksterne samarbejdspartnere holdes ajour med sikkerhed og bevidstgøres om REVI-IT A/S Side 8 af 33

9 evt. nye trusler. Medarbejdere, og eksterne parter, hvor det er relevant at inkludere disse under vores sikkerhedsretningslinjer, bliver periodisk orienteret om vores sikkerhedsretningslinjer samt, når der sker ændringer. Sanktioner Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i hver medarbejders ansættelseskontrakt, hvor forhold omkring alle sider af ansættelsen, herunder ophør og sanktioner ved evt. sikkerhedsbrud, er angivet. Ansvar ved ophør Ved ophør af en ansættelse har vi en udførlig procedure, som skal følges, for at sikre, at medarbejderne indleverer alle relevante aktiver, herunder bærbare medier mm, samt sikre at alle medarbejderes adgange til bygninger, systemer og data inddrages. Det overordnede ansvar for sikring af alle kontroller i fratrædelsesprocessen ligger hos virksomhedens CTO. Styring af aktiver Ansvar for aktiver Fortegnelse over aktiver Software, servere og netværksudstyr inkl. konfiguration er registreret til brug ved dokumentation, overblik over udstyr mv. Vores netværk er komplekst med mange systemer og kunder, og for at sikre mod uvedkommendes adgang, og for at sikre gennemskueligheden af opbygningen, har vi udformet dokumentation, der beskriver det interne netværk med enheder, navngivning af enheder, logisk opdeling af netværk mv. Dokumenterne, netværkstopologier og lignende opdateres løbende ved ændringer og gennemgås minimum årligt af vores netværksspecialister. Ejerskab af aktiver Via ansvarsfordeling og rollebeskrivelser, er centrale netværksenheder, servere, periferienheder, systemer og data tilegnet systemansvarlige i vores virksomhed. Kunders data og systemer er tilegnet kundens kontaktperson. Acceptabel brug af aktiver Dette beskrevet i medarbejderhåndbogen. REVI-IT A/S Side 9 af 33

10 Tilbagelevering af aktiver Ved ophør af en ansættelse har vi en udførlig procedure, som skal følges, for at sikre, at medarbejderne indleverer alle relevante aktiver, herunder bærbare medier mm, samt sikre at alle medarbejderes adgange til bygninger, systemer og data inddrages. Det overordnede ansvar for sikring af alle kontroller i fratrædelsesprocessen ligger hos virksomhedens CTO. Mediehåndtering Styring af bærbare medier Vi sikrer, i bedst muligt omfang, at vores medarbejderes bærbare medier såsom bærbar pc, mobiltelefon og lignende er konfigureret sikkerhedsmæssigt lige så højt, som resten af vores miljø, samt det sikres, at de databærende medier opdateres, når vi foretager nye sikkerhedstiltag. Adgangskontrol Foretningskrav til adgangskontrol Politikker for adgangsstyring Vi har politik for adgangstildeling. Politikken er en del af vores it-sikkerhedpolitik. Administration af brugeradgange Brugeroprettelses- og nedlæggelsesprocedurer Vores kunders brugere oprettes alene på baggrund af vores kunders ønske. Vores kunder er dermed ansvarlige for oprettelse og nedlæggelse af brugerkonti. Alle brugere skal være personhenførbare, dvs. have tydligt mærke med personnavn. Er der tale om servicebrugere, altså konti som alene benyttes systemmæssigt, er muligheden for egentlig logon deaktiveret. Rettighedstildeling Tildeling af privilegier er kontolleret i forbindelse med vores normale brugeradminsitrationsprocess. Håndtering af fortrolige logon informationer Alle personlige logons er udelukkende kendt af medarbejderen og underlagt passwordpolitik til sikring af kompleksitet. REVI-IT A/S Side 10 af 33

11 Evaluering af brugeradgangsrettigheder For vores egne brugere, gennemgår virksomhedens CTO periodisk, minimum årligt, virksomhedens interne systemer med oprettede brugere og deres adgangsniveau for at sikre mod adgang for uautoriserede personer. Brugeransvar Brug af fortrolig adgangskode Vores it-sikkerhedspolitik beskriver, at vores medarbejderes kodeord er personlige, og det er alene brugeren selv, der må kende kodeordet. Medarbejdere skriver årligt under på, at de har læst og forstået seneste version af vores it-sikkerhedspolitik. Da vi har brugere, såsom service accounts og lignende, som ikke kan bruges til at logge på med, og af systemmæssige årsager ikke skifter passwords, har vi et system til opbevaring af disse passwords. Kun autoriseret personale har adgang til systemet. Kontrol af adgang til systemer og data Begrænset adgang til data Vores medarbejdere er opsat med differentieret adgang, og har således alene adgang til de systemer og til de data, som er relevant for arbejdsindsatsen. System for administration af adgangskoder Alle medarbejdere på tværs af både kundesystemer og egne systemer, har restriktioner omkring adgangskode. Alle brugere har en adgangskode, og det er systemmæssigt sat op således, at der er begrænsninger i forhold til udformningen af kodeordet. Koder skal skiftes regelmæssigt og være komplekse. Vores it-sikkerhedspolitik beskriver regler for kompleksitet samt vores medarbejderes kodeord er personlige, og det er alene brugeren selv, der må kende kodeordet. Fysiske og miljømæssige sikringer Vedligeholdelse af udstyr Datacentrets køle- og brandanlæg bliver efterset periodisk, ligesom nødstrømsanlægget (UPS) halvårligt får foretaget eftersyn. Datacentret har opsat systemer således, at der overvåges temperaturer og strømspændinger i serverrummet. REVI-IT A/S Side 11 af 33

12 Sikring af udstyr uden for virksomhedens lokaler Vi fører natligt backupprocedure for sikring af vores kunders data og systemer, såfremt vores hostingsystemer af den ene eller anden årsag bliver utilgængelig. Vi har en aftale med den pågældende leverandør om housing af vores egne servere, og der er implementeret tilsvarende foranstaltninger mod tyveri, brand, vand og temperaturafvigelser. Vi modtager årligt revisorerklæring, der afdækker den fysiske sikkerhed hos vores underleverandør. Senest har vi modtaget revisorerklæringen som dækker perioden 01/ til 31/ Erklæringen er afgivet uden forbehold eller bemærkninger af væsentlig karakter. Den efterfølgende revisorerklæring er afgivet efter helhedsmetoden, og revisor har i den forbindelse foretaget kontrol af udvalgte og passende kontroller hos vores underleverandør for perioden, hvor dennes revisorerklæring ikke dækker perioden for afgivelse af revisorerklæring for os. Sikker bortskaffelse eller genbrug af udstyr Alt databærende udstyr destrueres inden bortskaffelse for at sikre, at data ikke er tilgængeligt. Brugerudstyr uden opsyn Alle interne brugerkonti er centralt styret til at gå på skærmlås ved inaktivitet efter max 2 minutter. Dermed sikrer vi, at uautoriseret personale ikke opnår adgang til fortroligt data. Sikkerhed i forbindelse med drift Operationelle procedurer og ansvarsområder Dokumenterede driftsprocedure Selvom vores organisation ikke nødvendigvis gør, at vi kan have overlap inden for alle opgaver og systemer, sikrer vi via dokumentationer og beskrivelser og via kompetente og flittige medarbejdere at medarbejdere eller nye medarbejdere kan påbegynde et arbejde på et system, som vedkommende ikke har operationel og historisk erfaring med. Vi opererer med dobbeltroller på alle systemer således, at den primære ansvarlige medarbejder har ansvar for at kommunikere praktiske forhold til kollegaer. Systemdokumentationen opdateres løbende. Ændringsstyring Vi har defineret en proces for ændringshåndtering for at sikre, at ændringer sker efter aftale med kunder og tilrettelagt hensigtsmæssigt i forhold til interne forhold. Ændringer sker alene baseret REVI-IT A/S Side 12 af 33

13 på en kvalificering af opgaven, kompleksiteten og vurdering af påvirkning af andre systemer. Herudover følges en proces omkring udvikling og test. Uanset hvilken ændring, der er tale om, sikres det altid, som minimum, at; Alle ændringer drøftes, prioriteres og godkendes af ledelsen Alle ændringer testes Alle ændringer godkendes før idriftsættelse Alle ændringer idriftsættes på et fastsat tidspunkt efter aftale med forretningen og kunder Der fortages fallback-planlægning, som sikrer, at ændringer kan rulles tilbage eller annulleres, hvis den ikke fungerer Systemdokumentationen opdateres med den nye ændring, såfremt det vurderes nødvendigt. Vores miljø er adskilt logisk og opdelt i test og produktion, hvorved vi sikre at have testet et produkt, før det kommer i produktion. Via adgangskontroller sikrer vi, at kun autoriseret personale har adgang til dette. Kapacitetsstyring Via vores generelle overvågningssystem, har vi sat grænseværdier for hvornår vores overordnede systemer, og dermed vores kunders systemer, skal skaleres op af hensyn til elektronisk plads, svartider mv. Når vi opsætter nye systemer foretages test af funktionalitet og herunder kapacitet- og performancetest. Der er udarbejdet en fast procedurer for rapportering af kapacitetsproblemer. Beskyttelse mod malware Foranstaltninger mod malware Vi har implementeret scannings- og overvågningssystemer til at sikre mod kendt skadevoldende kode, dvs. hvad vi og vores kunder via vores platforme kan risikere at blive inficeret med på internettet, via mails mv. Vi har antivirus-systemer, systemer til overvågning af internetbrug, trafik og ressourcer på SaaS platforme, sikringer i øvrige tekniske og centrale installationer (firewall mv.). Backup Sikkerhedskopiering af informationer Vi sikrer at kunne genskabe systemer og data på hensigtsmæssig og korrekt vis, og efter de aftaler, vi har med vores kunder. Vi har en test af, hvordan systemer og data praktisk kan retablereres. Der føres en log over disse tests således, at vi kan følge op på, om vi kan ændre på procedurer og processer for at højne vores løsning. REVI-IT A/S Side 13 af 33

14 Med mindre andet er aftalt med vores kunder, foretager vi sikkerhedskopiering af hele deres virtuelle miljø hos os. Vi foretager sikkerhedskopiering af vores egne systemer og data på samme vis, som vores kunders systemer og data. Vi har defineret retningslinjer for på hvilken vis, vi foretager sikkerhedskopiering. Hver nat føres en fuld kopi af data fra vores centrale systemer til vores backupsystemer. Dermed er data fysisk separeret fra vores driftssystemer, og efter endt afvikling, foretages der en automatiseret verificering af, hvorvidt datamængde og indhold mellem vores driftssystem og backupsystem, stemmer overens. En ansvarlig medarbejder sikrer herefter, at sikkerhedskopieringen er sket og foretager det fornødne, hvis jobbet er fejlet, og herefter logføre dette. Logning og overvågning Hændelseslogning Vi har opsat overvågning og logning af netværkstrafik, og vores driftsafdeling følger dette. Vi foretager ikke proaktiv overvågning af logførte hændelser, men vi følger op såfremt vi mistænker, at en hændelse kan relatere til forhold afdækket i log. Til styring af overvågning og opfølgning på hændelser, har vi implementeret formelle incident og problem management procedurer til sikring af, at hændelser registreres, prioriteres, styres, eskaleres og, at der foretages de nødvendige handlinger. Forløbet dokumenteres i vores hotline-system. Beskyttelse af logoplysninger Logs bliver uploaded til vores egen logserver. Administrator- og operatørlog Administrator logs sker samtidig med den normale log. Tidssynkronisering Vi benytter os af NTP servere fra internettet, som alle servere synkroniseres op imod. Styring af software på driftssystemer Via vores patch proces sikrer vi, at kun godkendt og testet opdateringer bliver installeret. Drejer det sig om størrer ændringer bliver dette drøftet på interne driftsmøder i driftsafdelingen. Ligeledes er vores medarbejdere bekendt med politiken vedrørende download af software. REVI-IT A/S Side 14 af 33

15 Styring af tekniske sårbarheder Sikkerhedsvarsler fra DK-CERT bliver monitoreret og analyseret og findes disse relevante installeres disse på vores interne systemer indenfor 1 måned fra udgivelse. Der fortages derudover løbende risikovurdering af vores interne løsninger. Kommunikationssikkerhed Rapportering af informationssikkerhedshændelser og svagheder Netværksforanstaltninger It-sikkerheden omkring systemers og datas ydre rammer, er netværket mod internettet, remote eller lignende. Sikring af data og systemer inde i netværket, og det ydre værn mod uvedkommende adgang, er af højeste prioritet hos os. Sikring af netværkstjenester Adgang til vores systemer fra vores kunder, sker enten via de offentlige netværk, hvor adgang sker via krypteret VPN-adgang, IP-whitelistning eller MPLS/VPLS. Adgang og kommunikation mellem vores servere og vores co-location, sker i et lukket netværk. Alene godkendt netværkstrafik (indgående) kommer gennem vores firewall. Vi er ansvarlige for driften og sikkerheden hos os, dvs. fra og med systemerne hos os og ud til internettet (eller MPLS/VPLS). Vores kunder er selv ansvarlige for at kunne tilgå internettet. Opdeling af netværk Vores netværk er opdelt i flere segmenter og derved sikres det at vores interne netværk er adskilt fra kundernes netværk. Derudover er de tjenester der har følsom data, placeret i specielt sikrede miljøer. Styring af informationssikkerhedsbrud og forbedringer Politikker og procedurer for dataoverførsel Ekstern datakommunikation sker alene via mails, idet vores kunders adgang og brug af vores servere, ikke betragtes som ekstern datakommunikation. Førstegangskodeord til kundesystemer fremsendes via mails, men disse skal ændres ved første logon. Glemte kodeord, personoplysninger, bestillinger mv. håndteres aldrig via telefon, udeluk- REVI-IT A/S Side 15 af 33

16 kende på skrift og først efter vores medarbejdere har konstateret, at det er en rigtig og autoriseret person, vi har kontakt til. Fortrolighedsaftaler Der er etableret fortrolighed generelt for alle involverede i vores forretning. Dette sker via ansættelseskontrakter eller samarbejdsaftaler med underleverandører og samarbejdspartnere. Anskaffelse, udvikling og vedligeholdelse Sikkerhedskrav til informationssystemer Analyse og specifikation af sikkerhedskrav Indføres et nyt system bliver der gennemgået en række analyser og research således at dette overholder best-practice for hardning. Informationssikkerhedsaspekter ved beredskabsstyring Procedurer for styring af ændringer Vi har defineret en proces for ændringshåndtering for at sikre, at ændringer sker efter aftale med kunder og tilrettelagt hensigtsmæssigt i forhold til interne forhold. Ændringer sker alene baseret på en kvalificering af opgaven, kompleksiteten og vurdering af påvirkning af andre systemer. Herudover følges en proces omkring udvikling og test, og accept fra både os og fra kundens side. Uanset hvilken ændring, der er tale om, sikres det altid, som minimum, at; Alle ændringer drøftes, prioriteres og godkendes af ledelsen Alle ændringer testes Alle ændringer godkendes før idriftsættelse Alle ændringer idriftsættes på et fastsat tidspunkt efter aftale med forretningen og evt. kunder Der fortages fallback-planlægning, som sikrer, at ændringer kan rulles tilbage eller annulleres, hvis den ikke fungerer. Systemdokumentationen opdateres med den nye ændring, såfremt det vurderes nødvendigt Vores miljø er adskilt logisk og opdelt i test og produktion, hvorved vi sikre at have testet et produkt før det kommer i produktion. Via adgangskontroller sikrer, vi at kun autoriseret personale har adgang til dette. Begrænsning af ændringer af softwarepakker Servicepacks og system-specifikke opdateringer, der kan medføre ændringer i funktionalitet vurderes og installeres separat. Sikkerhedsopdateringer udrulles på såvidt muligt alle systemer. REVI-IT A/S Side 16 af 33

17 Leverandørforhold Styring af serviceydelser fra tredjepart Styring af ændringer af serviceydelser Når der sker ændringer internt i organisationen, herunder politikker og procedurer, samt ændringer til vores ydelser eller ydelser fra vores eksterne samarbejdspartnere, foretages der altid en risikovurdering for at afdække om ændringerne får indflydelse på vores aftale med kunderne. Styring af sikkerhedshændelser Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer Vores medarbejdere er forpligtiget til at holde sig opdaterede ved hjælp af producenters supporthjemmesider, debatfora mv. for konstaterede svagheder i de systemer, vi benytter og tilbyder. Der er formelt udpegede systemansvarlige, og krav til de systemansvarlige er klart og formelt defineret. Det er den systemansvarliges ansvar at udarbejde og vedligeholde procedurer, som sikrer rettidig og korrekt indgriben i forbindelse med sikkerhedsbrud. Rapportering af informationssikkerhedshændelser Vores hotline-system, hvori vi håndterer alle sager for kunder og interne forhold, er samtidig vores system til håndtering af sikkerhedshændelser. Heri kan vi eskalere forhold således, at opgaver får højere prioritet end andre. Herudover vil sikkerhedshændelser afstedkommet fra hhv. egne observationer, alarmering ud fra log- og overvågningssystem, telefoniske henvendelser fra kunder, underleverandører eller samarbejdspartnere, blive eskaleret fra vores hotline til driftsafdelingen med samtidig orientering til ledelsen. Vi har etableret kontakt til hotline hos DK-CERT, hvor vi gensidigt har aftale om orientering ved væsentlige sikkerhedsrelaterede forhold vedrørende internettrafik. Rapportering af sikkerhedssvagheder Vores medarbejdere og eksterne samarbejdspartnere er, via de indgåede kontrakter og aftaler, forpligtet til at anmeldelse enhver sikkerhedshændelse til nærmeste leder, så der hurtigst muligt kan reageres på hændelsen og nødvendige tiltag kan udføres jf. de etablerede procedurer. REVI-IT A/S Side 17 af 33

18 Beredskabsstyring Informationssikkerhed i leverandørforhold Beredskabsplanlægning Skulle der opstå en nødsituation, har any.cloud A/S udarbejdet en beredskabsplan. Beredskabsplanen er forankret i it-risikoanalysen og vedligeholdes minimum årligt i forlængelse af udførelsen af analysen. Planen og procedurerne er forankret i vores driftsdokumentation og procedurer. Via vores medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), er vi forpligtet til, at vi inden for 3 dage kan retablere enhver enhed i vores datacenter. Dette sikrer vi ved, at vi har afvejet risici, klassificeret enheder i vores driftsapparat, og har procedurer der sikrer, at vi i vores beredskabsplanlægning kan foretage udskiftning af vores driftsplatform, så de leverede ydelser vil blive retableret rettidigt. Prøvning, vedligeholdelse og revurdering af beredskabsplaner Planen testes 1-2 gange årligt som en del af vores beredskab, så vi sikrer, at kunderne i mindst muligt omfang vil opleve forstyrrelser i driften i forbindelse med en eventuel nødsituation. Overensstemmelse Review af informationssikkerheden Uafhængig evaluering af informationssikkerhed Der foretages evalueringen af en ekstern it-revisor samt i forbindelse med udarbejdelse af de årlige ISAE 3402 erklæringer. Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder Vores medarbejdere læser it-sikkerhedspolitikken minimum en gang om året og underskriver, at de forstår og efterkommer denne. Kontrol af teknisk overensstemmelse Vi har procedurer der sikrer opdatering af alle systemer, og implementeret omfattende overvågning af alle systemer, herunder vores kunders services. Ydermere har vi hos en anden ISO certificeret hostingudbyder et eksternt system som overvåger tilgængelighed på alle vores services. Vi har ligeledes kontroller, der sikrer, at overvågning og sikkerhed overholdes. REVI-IT A/S Side 18 af 33

19 Ændringer i perioden Gennem perioden fra 01.december 2013 til 30. november 2014 er der sket ganske få væsentlige ændringer. Vi har øget kompetencen af vores tekniske personale i form af nyansættelser, og herudover har vi: Forbedret vores system til dokumentation af arbejdsopgaver Implementeret og dokumenteret nye produkter Udviklet og forbedret interne systemer Komplementerende kontroller any.cloud A/S kunder er, med mindre andet er aftalt, ansvarlige for at etablere forbindelse til any.cloud A/S servere. Herudover er any.cloud A/S kunder, med mindre andet er aftalt, ansvarlige for: at det aftalte niveau for backup dækker kundens behov periodisk gennemgang af kundens egne brugere at overholde any.clouds til hver en tid gældende Service Level Agreement som forefindes på any.clouds hjemmeside at der opretholdes sporbarhed i tredjeparts software som kunden selv administrere. REVI-IT A/S Side 19 af 33

20 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos, any.cloud A/S kunder og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om any.cloud A/S beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af any.cloud A/S ledelse, dækker virksomhedens behandling af kunders transaktioner på virksomhedens hostingydelser i perioden til , samt udformningen og funktionaliteten af de kontroller der knytter sig til de kontrolmål, som er anført i beskrivelsen. any.cloud A/S beskrivelse (afsnit 2) indeholder en række forhold som virksomheden skal leve op til jf. virksomhedens medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark). Vores revision har omfattet disse forhold, og består udover de fysiske forhold, herunder server hardware, LAN, WAN og firewalls, af: hvorvidt any.cloud A/S implementerer kritiske sikkerhedsopdateringer inden for 2 måneder fra frigivelse, og hvorvidt any.cloud A/S kan retablere enheder i datacenter inden for 3 dage. any.cloud A/S ansvar any.cloud A/S er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udsagn (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret. any.cloud A/S er herudover ansvarlig, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål og for udformningen, implementeringen og effektiviteten af fungerende kontroller for at nå de anførte kontrolmål. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om any.cloud A/S beskrivelse (afsnit 2) og om udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, REVI-IT A/S Side 20 af 33

21 og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør any.cloud A/S beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i any.cloud A/S udsagn i afsnit 2 og det er på den baggrund vores vurdering, (a) (b) (c) (d) at beskrivelsen af hostingydelsen, således som det var udformet og implementeret i hele perioden til , i alle væsentlige henseender er retvisende, og at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra til , og at kontrollerne for de særlige krav, som er foranlediget af virksomhedens medlemskab af BFIH jf. beskrivelsen i kapitel 2, var hensigtsmæssigt udformet i hele perioden til , og at de testede kontroller, som var de kontroller, der var nødvendige for at give en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden til Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse tester fremgår i det efterfølgende hovedafsnit (afsnit 4). REVI-IT A/S Side 21 af 33

22 Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt any.cloud A/S hostingydelse, og disses revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 2. december 2014 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, adm. direktør REVI-IT A/S Side 22 af 33

23 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som any.cloud A/S har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden til Vi har således ikke nødvendigvis testet alle de kontroller, som any.cloud A/S har nævnt i sin beskrivelse i afsnit 2. Kontroller, udført hos any.cloud A/S kunder, er herudover ikke omfattet af vores erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos any.cloud A/S via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførelse af kontrol Overordnet beskrivelse Interview, altså forespørgsel af udvalgt personale hos virksomheden angående kontroller Observation af hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførelse. Vi har selv eller observeret en genudførelse af kontroller med henblik på at verificere, at kontrollen fungerer som forventet. Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser her fra, har vi anført dette. REVI-IT A/S Side 23 af 33

24 Risikovurdering og -håndtering Risikovurdering Nr. Kontrolmål REVI-IT s test Resultat af test 4.1 Formålet er at sikre, at virksomheden periodisk fortager en analyse og vurdering af it-risikobilledet. Vi har forespurgt til vurdering af risici i any.cloud A/S Vi har inspiceret den udarbejdede risikovurdering. Håndtering af sikkerhedsrisici 4.2 Formålet er at sikre, at virksomheden har udarbejdet faste procedurer for behandling af risici. Vi har forespurgt til kontroller for periodisk revurdering af risici. Vi har inspiceret den etablerede kontrol. Informationssikkerhedspolitikker It-sikkerhedspolitik Nr. Kontrolmål REVI-IT s test Resultat af test 5.1 Formålet er at sikre, at der gives retningslinjer for at understøtte informationssikkerheden i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter. Vi har forespurgt til udarbejdelse af itsikkerhedspolitik. Vi har forespurgt til procedure for periodisk gennemgang af itsikkerhedspolitikken. Vi har inspiceret den udarbejdede itsikkerhedspolitik og kontrol for periodisk revurdering. REVI-IT A/S Side 24 af 33

25 Organisering af informationssikkerhed Intern organisering Nr. Kontrolmål REVI-IT s test Resultat af test 6.1 Formålet er at sikre, at der etableres et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og driften af informationssikkerhed i organisationen. Vi har forespurgt til tildeling af ansvar for informationssikkerhed. Vi har forespurgt til sikring af funktionsadskillelse. Vi har forespurgt til kontakt med myndigheder. Vi har forespurgt til kontakt med interessegrupper. dokumentation for ovennævnte forhold. Mobile enheder og fjernarbejdspladser 6.2 Formålet er at sikre fjernarbejdspladser og brugen af mobilt udstyr. Vi har forespurgt til styring af mobilt udstyr og kommunikation. Vi har forespurgt til anvendelse af fjernarbejdspladser. dokumentation for ovennævnte forhold. REVI-IT A/S Side 25 af 33

26 Sikkerhed i forhold til HR Inden ansættelse Nr. Kontrolmål REVI-IT s test Resultat af test 7.1 Formålet er at sikre, at medarbejdere og kontrahenter forstår deres ansvar og er egnede til de roller, de er i betragtning til. Vi har forespurgt til ansættelsesprocessen. Vi har forespurgt til screening af medarbejdere inden ansættelse. Vi har forespurgt til medarbejderes ansættelsesforhold og leverandørs kontrakter. dokumentation for ovennævnte forhold. Under ansættelse 7.2 Formålet er at sikre, at medarbejdere og kontrahenter er bevidste om og lever op til deres informationssikkerhedsansvar. Ophør eller ændring i ansættelse 7.3 Formålet er at sikre, at organisationens interesser, som led i ansættelsesforholdets ændring eller ophør, beskyttes. Vi har forespurgt til ledelsens ansvar i forhold til politikker og procedurer. Vi har forespurgt til retningslinjer for sanktioner. Vi har forespurgt til uddannelse af brugere i it-sikkerhed. dokumentation for ovennævnte forhold. Vi har forespurgt til ansvar ved ophør af ansættelsesforhold. dokumentation. REVI-IT A/S Side 26 af 33

27 Styring af aktiver Ansvar for aktiver Nr. Kontrolmål REVI-IT s test Resultat af test 8.1 Formålet er at sikre, at organisationens aktiver defineres og der defineres passende ansvarsområder til beskyttelse af aktiverne. Vi har forespurgt til fortegnelse over aktiver. Vi har forespurgt til ejerskab af aktiver. Vi har forespurgt til retningslinjer for brug af aktiver. Vi har forespurgt til tilbagelevering af aktiver ved ophør af ansættelsesforhold. dokumentation for ovennævnte forhold. Dataklassifikation 8.2 Formålet er at sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. Mediehåndtering 8.3 Formålet er at sikre hindring af uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af information lagret på medier. Vi har forespurgt til retningslinjer for klassifikation. Vi har forespurgt til mærkning og håndtering af informationer. Vi har forespurgt til håndtering af aktiver. dokumentation for ovennævnte forhold. Vi har forespurgt til styring af bærbare medier. Vi har forespurgt til retningslinjer for bortskaffelse af medier. Vi har inspiceret de etablerede foranstaltninger samt retningslinjer og dokumentation for ovennævnte forhold. REVI-IT A/S Side 27 af 33

28 Adgangskontrol Forretningskrav til adgangskontrol Nr. Kontrolmål REVI-IT s test Resultat af test 9.1 Formålet er at sikre, at adgangen til information og informationsbehandlingsfaciliteter begrænses. Vi har forespurgt til politikker for adgangsstyring og til netværk og netværksservices. dokumentation. Administration af brugeradgange 9.2 Formålet er at sikre adgang for autoriserede brugere og forhindre uautoriseret adgang til systemer og tjenester. Brugeransvar 9.3 Formålet er at gøre brugere ansvarlige for at sikre deres autentifikationsinformation. Vi har forespurgt til procedure for oprettelse og nedlæggelse af brugere. Vi har forespurgt til rettighedstildeling og kontrol med privilegerede adgangsrettigheder. Vi har forespurgt til håndtering af fortrolige logon informationer. Vi har forespurgt til gennemgang af brugerrettigheder. Vi har inspiceret retningslinjer, dokumentation og kontroller for ovennævnte forhold. Vi har forespurgt til anvendelse af fortrolig adgangskode. Vi har inspiceret de udarbejdede retningslinjer. Kontrol af adgang til Systemer og data 9.4 Formålet er at sikre, at uautoriseret adgang til systemer og applikationer forhindres. Vi har forespurgt til begrænsning af adgange til informationer. Vi har forespurgt til procedure for logon. Vi har forespurgt til system for administrering af koder. dokumentation for ovennævnte forhold. Kryptografi Kontrol med anvendelsen af kryptografi Nr. Kontrolmål REVI-IT s test Resultat af test 10.1 Formålet er at sikre korrekt og effektiv brug af kryptografi for at beskytte informationers fortrolighed, autenticitet og/eller integritet. Vi har forespurgt til politik for anvendelse af kryptografi og administration af krypteringsnøgler. REVI-IT A/S Side 28 af 33

29 Fysiske og miljømæssige sikringer Sikre områder Nr. Kontrolmål REVI-IT s test Resultat af test 11.1 Formålet er at sikre hindring af uautoriseret fysisk adgang til samt beskadigelse af og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter. Vi har forespurgt til den fysiske skalsikring hos any.cloud A/S's leverandør. Vi har forespurgt til retningslinjer for fysisk adgangskontrol hos any.cloud A/S og deres leverandør. Vi har forespurgt til sikring af kontorer, lokaler og faciliteter hos any.cloud A/S. Vi har forespurgt til beskyttelse mod eksterne og miljømæssige trusler hos any.cloud A/S s leverandør. Vi har inspiceret den fysiske skalsikring hos any.cloud A/S. Vi har inspiceret faciliteterne hos any.cloud A/S. Vi har inspiceret kontrakten med any.cloud's leverandør og erklæring fra Interxion Vi har inspiceret kontroller og dokumentation for adgangsstyring. Udstyr 11.2 Formålet er at undgå tab, skade, tyveri eller kompromittering af aktiver og driftsafbrydelse i organisationen. Vi har forespurgt til placering og beskyttelse af udstyr hos any.cloud A/S og deres leverandør. Vi har forespurgt til understøttende forsyninger hos any.cloud A/S's leverandør. Vi har forespurgt til vedligeholdelse af udstyr hos any.cloud A/S's leverandør. Vi har forespurgt til retningslinjer for fjernelse af udstyr, data og software. Vi har forespurgt til retningslinjer for sikring af udstyr udenfor any.cloud A/S s lokaler. Vi har forespurgt til retningslinjer for bortskaffelse af udstyr. Vi har forespurgt til retningslinjer for brugerudstyr uden opsyn samt politik for rydeligt skrivebord og blank skærm. Vi har inspiceret kontrakten med any.cloud A/S's leverandør og erklæring fra Interxion. dokumentation for ovennævnte forhold. REVI-IT A/S Side 29 af 33

30 Sikkerhed i forbindelse med drift Operationelle procedurer og ansvarsområder Nr. Kontrolmål REVI-IT s test Resultat af test 12.1 Formålet er at sikre korrekt og sikker drift af informationsbehandlingsfaciliteter Vi har forespurgt til udarbejdelse af driftsprocedurer. Vi har forespurgt til procedure for håndtering af ændringer. Vi har forespurgt til kontroller for kapacitetssyring. Vi har forespurgt til adskillelse af test og driftsfaciliteter. dokumentation for ovennævnte forhold. Beskyttelse mod Malware 12.2 Formålet er at sikre, at information og informationsbehandlingsfaciliteter er beskyttet mod malware. Backup 12.3 Formålet er at beskytte mod tab af data. Logning og overvågning 12.4 Formålet er at registrere hændelser og generere bevis. Styring af software på driftssystemer 12.5 Formålet er at sikre integriteten af driftssystemer. Styring af tekniske sårbarheder 12.6 Formålet er at sikre, at udnyttelse af tekniske sårbarheder forhindres. Vi har forespurgt til anvendelse af antivirussoftware. Vi har inspiceret den etablerede løsning. Vi har forespurgt til procedurer for sikkerhedskopiering. Vi har inspiceret retningslinjer, dokumentation og kontroller for den etablerede løsning. Vi har forespurgt til logning, herunder opfølgning på logs, beskyttelse af logoplysninger og administrator og operatørlog. Vi har forespurgt til tidssynkronisering. dokumentation for ovennævnte forhold. Vi har forespurgt til styring af software på driftssystemer. dokumentation. Vi har forespurgt til styring af tekniske sårbarheder. Vi har forespurgt til begrænsning af programinstallering. dokumentation for ovennævnte forhold. REVI-IT A/S Side 30 af 33

31 Kommunikationssikkerhed Styring af netværkssikkerheden Nr. Kontrolmål REVI-IT s test Resultat af test 13.1 Formålet er at sikre beskyttelse af informationer i netværk og af understøttende informationsbehandlingsfaciliteter. Vi har forespurgt til netværksforanstaltninger hos any.cloud A/S. Vi har forespurgt til sikring af netværkstjenester. Vi har forespurgt til opdeling af netværket hos any.cloud A/S. dokumentation for ovennævnte forhold. Dataoverførsler 13.2 Formålet er at opretholde informationssikkerhed ved overførsel internt i en organisation og til en ekstern entitet. Vi har forespurgt til politikker og procedurer for dataoverførsel. Vi har forespurgt til fortrolighedsaftaler. dokumentation for ovennævnte forhold. Leverandørforhold Informationssikkerhed i Leverandørforhold Nr. Kontrolmål REVI-IT s test Resultat af test 15.1 Formålet er at sikre beskyttelse af organisationens aktiver, som leverandører har adgang til. Vi har forespurgt til sikkerhed i forhold til any.cloud A/S s leverandører. dokumentation. Styring af serviceydelser fra tredjepart 15.2 Formålet er at opretholde et aftalt niveau af informationssikkerhed og levering af ydelser i henhold til leverandøraftalerne. Vi har forespurgt til overvågning af services fra leverandører. Vi har forespurgt til styring af ændringer fra leverandører. Vi har observeret den etablerede overvågning. dokumentation for ovennævnte forhold. REVI-IT A/S Side 31 af 33

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25814606

SYSTEMHOSTING A/S CVR nr.: 25814606 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2014 til 31-12-2014 SYSTEMHOSTING

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Sotea ApS CVR nr.: DK 10085225

Sotea ApS CVR nr.: DK 10085225 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-08-2014 til 31-01-2015 Sotea ApS CVR nr.: DK 10085225

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig r Rackhosting ApS Oktober 2014 ISAE 3402-erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til driften af kunders itmilj øer for perioden 1. juni 2013 til 31. maj 2014 med

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

Navit sp/f. Del A Gennemførelse

Navit sp/f. Del A Gennemførelse Den Internationale Kode for Sikker Drift af Skibe og Forebyggelse af Forurening (International Safety Management-koden (ISM-koden)) Med rettelser gældende pr. 1. juli 2010 Del A Gennemførelse 1. Generelt

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere

Service Level Agreement Version 2.0 d. 1. april 2014

Service Level Agreement Version 2.0 d. 1. april 2014 Service Level Agreement Version 2.0 d. 1. april 2014 EDB-Eksperten.dk 1. Præambel... 3 1.1. Definitioner... 3 1.2. Produktomfang... 3 2. Driftsvindue og tider... 3 2.1. Driftsvindue... 3 2.2. Åbningstid...

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret Maj 2015 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 18. maj

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

pwc EG Data Inform A/S

pwc EG Data Inform A/S i EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG Data Informs driftsydelser Januar 2015 pwc PricewaterhouseCoopers Statsautoriseret

Læs mere

ÅRSBERETNING. Program for intern overvågning Naturgas Fyn Distribution A/S.

ÅRSBERETNING. Program for intern overvågning Naturgas Fyn Distribution A/S. ÅRSBERETNING. Program for intern overvågning Naturgas Fyn Distribution A/S. Indholdsfortegnelse 1 Indledning...3 2 Beskrivelse af Naturgas Fyn Distribution A/S s ( NGFD s ) program for intern overvågning...3

Læs mere

Comendo Remote Backup. Service Level Agreement

Comendo Remote Backup. Service Level Agreement Comendo Remote Backup Service Level Agreement Side 2 af 7 Indholdsfortegnelse Service Level Agreement... 1 Indholdsfortegnelse... 2 Introduktion... 3 Comendo Remote Backup ansvar og forpligtelser... 3

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Bestilling af online backup

Bestilling af online backup Bestilling af online backup 1. kundelogin (telefonnummer): 2. Abonnement: Sæt kryds Plads på server Oprettelse Månedligt abonnement 500 MB 499,- 100,- 1 GB 499,- 135,- 2 GB 499,- 170,- 3 GB 499,- 205,-

Læs mere

Service Level Agreement

Service Level Agreement Nærværende dokument klarlægger de serviceforpligtelser, som Leverandøren har over for Kunden, i forbindelse med deres indbyrdes aftaleforhold. Forpligtelserne er gældende såfremt den tilhørende hostingaftale

Læs mere

Greve Kommune. Revision af generelle it-kontroller

Greve Kommune. Revision af generelle it-kontroller Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr. 4 1 37 14 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Lumia med Windows Phone

Lumia med Windows Phone Lumia med Windows Phone Født til jobbet microsoft.com/da-dk/mobile/business/lumia-til-erhverv/ 103328+103329_Lumia-Brochure+10reasons_danish.indd 1 19.11.2014 14.43 Office 365 på arbejde Giv dine medarbejdere

Læs mere

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0 SCP.03.00.DK.1.0 Indhold Indhold... 2 1 Formålet med ledelsessystem for informationssikkerhed... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Dit netværk er vores højeste prioritet!

Dit netværk er vores højeste prioritet! Dit netværk er vores højeste prioritet! Hvor sikker er du på dit netværk? Netværkssikkerhed er ingen selvfølge. Det har mange virksomheder måttet konstatere den seneste tid. Vi har været vidne til gentagne

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Kommissorium for bestyrelsens revisionsudvalg.

Kommissorium for bestyrelsens revisionsudvalg. Kommissorium for bestyrelsens revisionsudvalg. Introduktion Introduktion Nærværende kommissorium kan anvendes som inspiration til udarbejdelse af kommissorier for revisionsudvalg etableret som selvstændige

Læs mere

Revisionsprotokollat af 27. marts 2011

Revisionsprotokollat af 27. marts 2011 KPMG Statsautoriseret Revisionspartnerselskab AUDIT Borups Allé 177 Postboks 250 2000 Frederiksberg Telefon 38 18 30 00 Telefax 72 29 30 30 www.kpmg.dk Revisionsprotokollat af 27. marts 2011 til årsrapporten

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Dette dokument vil gennemgå de serviceforpligtelser, som leverandøren har til kunden i forbindelse med en købsaftale, forudsat der specifikt er henvist til den korrekte versionering

Læs mere

"SAP" betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten.

SAP betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten. Serviceaftaleprogram for Ariba Cloud Services Garanti for Tjenestens tilgængelighed Sikkerhed Diverse 1. Garanti for Tjenestens tilgængelighed a. Anvendelighed. Garantien for tjenestens tilgængelighed

Læs mere

Miracle Hosting A/S. ISAE 3402 Type 2

Miracle Hosting A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle Hosting A/S ISAE 3402

Læs mere

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren)

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) Vilkår for hosting 6. revision 7. maj 2005 CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) CompuSoft A/S, Anderupvej 16, DK 5270 Odense N, Tlf. +45 6318

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum Nr. 1 16. juli 2014 Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum (Vejledning til bekendtgørelse om outsourcing af væsentlige aktivitetsområder) 1. Indledning 1.1. Kunngerð nr. 1 frá 16.

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

Triolab lægger vægt på et tæt samarbejde med kunden, sådan at de tilbudte løsninger fungerer optimalt og tilpasses kundens behov.

Triolab lægger vægt på et tæt samarbejde med kunden, sådan at de tilbudte løsninger fungerer optimalt og tilpasses kundens behov. Side 1 af 8 Indledning Triolab er et firma, der forhandler kvalitetsløsninger til laboratorier i flere segmenter. Triolab er et firma, der forestår totalløsninger. Der tilbydes support på højt fagligt

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Mariendal IT - Hostingcenter

Mariendal IT - Hostingcenter ariendal IT - Hostingcenter ariendal IT - Hostingcenter ed vores topsikrede og professionelle hostingcenter tilbyder vi flere forskellige hostede løsninger I denne brochure kan du danne dig et overblik

Læs mere

Bestilling af remote backup

Bestilling af remote backup Bestilling af remote backup 1. kundelogin (telefonnummer): 2. Abonnement: Sæt kryds Plads på server Oprettelse Månedligt abonnement 1 GB 0,- 56,- 5 GB 0,- 125,- 10 GB 0,- 220,- 15 GB 0,- 275,- 20 GB 0,-

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere