Greve Kommune. Revision af generelle it-kontroller

Størrelse: px
Starte visningen fra side:

Download "Greve Kommune. Revision af generelle it-kontroller"

Transkript

1 Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax Greve Kommune Revision af generelle it-kontroller Maj 010 Medlem af Deloitte Touche Tohmatsu

2 Deloitte Indholdsfortegnelse Side Indledning 1 Formål 1 Konklusion 1 Afsluttende bemærkninger Vurderingskriterier 3 Revisionens indhold og omfang 3 Kontrolmålsoversigt og detailvurderinger 4 Bilag 1: Detailbemærkninger vedr. ekstern sårbarhedsscanning 14

3 Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax Greve Kommune Att.: It-chef Michael Kalmberg Rådhusholmen Greve Revision af generelle it-kontroller Indledning Deloitte har som et led i revisionen af årsrapporten revideret de generelle it-kontroller hos Greve Kommune i maj måned 010. Nærværende rapport indeholder vores observationer, vurderinger og anbefalinger. Formål Generelle it-kontroller er de kontroller, som er etableret i og omkring kommunens væsentlige itplatforme med henblik på at opnå en velkontrolleret og sikker it-anvendelse, og dermed også understøtte kontroller i it-baserede forretningsprocesser. Formålet med revisionen har været at vurdere, om de generelle it-kontroller dels er udformet på en hensigtsmæssig måde, og dels opretholdes og dokumenteres som tilsigtet i den periode, som revisionen omfatter. Konklusion På baggrund af vores revision er det vores vurdering, at de generelle it-kontroller i det væsentligste har været hensigtsmæssigt udformet og opretholdt i perioden januar 010 maj 010. Vi har dog følgende væsentlige anbefalinger: Udbedring af for bred adgang til systemer og data hos KMD medarbejdere.

4 Deloitte Der bør udarbejdes formelle krav af KMD til logning af sikkerhedsmæssige hændelser, og der skal efterfølgende etableres kontroller, der sikrer, at krav til sikkerhedsmæssig logning på relevante platforme og systemer implementeres og overholdes, samt at der gennemføres en dokumenteret periodisk gennemgang af relevante logs fra disse platforme og systemer. Observationer relateret til KMD er baseret på vores gennemgang af den af BDO udarbejdede erklæring for KMD for året 009. Det er i erklæringen oplyst, at KMD er i færd med at omlægge hele adgangsstyringen og at det forventes, at man i løbet af 010 vil være nået langt med dette projekt. Så snart der foreligger en erklæring for 010, vil vi følge op herpå. Ligeledes varetages backup af dmsave, og vi har gennemgået erklæring fra uafhængig revisor, dækkende året 009. Konklusionen er, at de generelle it-kontroller i perioden 1. januar 31. december 009 hos dmsave har været udformet og opretholdt hensigtsmæssigt på de områder, som er fælles for alle kunder. Der er dog identificeret en enkelt væsentlig svaghed på de ydelser, som leveres fra Atea Outsourcing Services, som er, at procedurerne for logning og overvågning af logs på infrastrukturen bør forbedres. Idet væsentlige kontroller vedrørende kommunens økonomisystem (Prisme) varetages af Fujitsu, har vi gennemgået erklæring fra uafhængig revisor. Denne foreligger endnu ikke for 009, men konklusionen dækkende perioden 4. september 008 til 5. november 009 er, at de generelle itkontroller hos Fujitsu har været opretholdt i overensstemmelse hermed, samt at Persondatalovens krav til databeskyttelse er overholdt. Afsluttende bemærkninger Vi har efterfølgende beskrevet anvendte vurderingskriterier og revisionens omfang, samt anført vurderinger af kontrolmål og de detaljerede observationer og anbefalinger, som revisionen har givet anledning til. Skulle der være væsentlige forhold, som efter Deres opfattelse ikke er tilstrækkeligt behandlet, eller har De i øvrigt spørgsmål eller kommentarer, står vi naturligvis til disposition. Deloitte Statsautoriseret Revisionsaktieselskab Peter Meisner Sørensen statsautoriseret revisor Mikkel Jon Larssen partner, CISA

5 Deloitte 3 Vurderingskriterier Vores vurdering af de generelle it-kontroller tager udgangspunkt i omfanget, kompleksitet og afhængighed af it-baserede forretningsprocesser. Revisionens indhold og omfang Vi anvender følgende opdeling af de generelle it-kontroller i kontrolområder: A. It-strategi og -planlægning B. It-drift C. It-outsourcing D. It-sikkerhed E. Nødberedskab F. Implementering og vedligeholdelse af brugersystemer G. Implementering og support af databaser H. Support af it-infrastruktur Vores revision planlægges dog således, at de kontrolområder, som ikke vurderes relevante i relation til revisionen af kommunens it-anvendelse, ikke bliver revideret. Område A er i den forbindelse ikke vurderet relevant for vores revision. Område F og G varetages af Fujitsu (Prisme), samt af KMD. Forhold varetaget af KMD samt Fujitsu afdækkes ved modtagelse af revisionserklæring fra ekstern revisor. Endvidere varetages backup af dmsave og afdækkes ved modtagelse af revisionserklæring fra ekstern revisor. Revisionen er fokuseret på den del af de generelle it-kontroller, som er væsentlige i forhold til de brugersystemer og tilhørende tekniske platforme, som vi vurderer som væsentlige og risikofyldte i revisionsmæssig henseende. Revisionen er udført ved interview af personale hos kommunen, samt ved observation, gennemgang af materiale, samt stikprøvevis gennemgang af tekniske sikkerhedsopsætninger på de udvalgte platforme, og er derfor ikke at betragte som en gennemgang og vurdering af alle it-sikkerhedsforhold, der kan være relevante for kommunen. De stikprøver, som vi har udvalgt til at teste kontrollernes operationelle effektivitet, dækker perioden januar 010 til maj 010. Der vil ultimo 010 blive foretaget revision af restperioden frem til

6 Deloitte 4 Kontrolmålsoversigt og detailvurderinger I skemaet på side 5 er i oversigtsform angivet vores vurderinger af faktiske forhold imod kontrolmål for de kontrolområder, som vi har revideret i indeværende år. Skemaet indeholder tillige vores vurderinger for de kontrolområder, som er revideret i tidligere år, såfremt der er blevet fulgt op på disse. I skemaet er resultatet for hvert kontrolmål angivet ved anvendelse af følgende symboler: Symbol Betydning Kontrolniveauet vurderes som ikke betryggende, og der er behov for flere meget væsentlige forbedringer. Kontrolniveauet vurderes som mindre betryggende, og der er behov for forbedringer, hvoraf enkelte kan være væsentlige. Kontrolniveauet vurderes som relativt højt, og der er alene behov for forbedringer af mindre væsentlig karakter. Revisionen af kontrolmålet har ikke givet anledning til bemærkninger. Skemaet fungerer som en indholdsfortegnelse til de detaljerede observationer og anbefalinger, og det er ud for kontrolmålet angivet, på hvilken side i den detaljerede rapport de pågældende forhold er nærmere beskrevet. Såfremt revisionen af et kontrolmål ikke har givet anledning til bemærkninger, er en detaljeret beskrivelse af kontrolmålet således ikke medtaget. For de detaljerede observationer og tilhørende anbefalinger er der angivet en prioritet, baseret på følgende opdeling: Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol. Efter aftale med Greve Kommune er der i den detaljerede rapport ligeledes anført i hvilket afsnit en given anbefaling er hjemmehørende i ISO7001 hvis relevant.

7 Deloitte 5 Ref. Kontrolmål Vurdering Side B1 B D1 D D3 D4 Alle nødvendige jobs og kørsler, såvel online som batch, afvikles rettidigt og korrekt, og kommunen kontrollerer, at dette sker til normal fuldførelse og med forventet resultat. Data sikkerhedskopieres, opbevares og kan fremskaffes i overensstemmelse med gældende lovgivning og kommunens behov. En ledelsesgodkendt it-sikkerhedspolitik er udarbejdet med udgangspunkt i en itrisikoanalyse, og kommunikeret til hele kommunen. Adgang til systemer, data og andre it-ressourcer administreres, vedligeholdes og overvåges i overensstemmelse med kommunens behov. Den logiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med kommunens behov. Den fysiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med kommunens behov D5 It-ressourcerne er beskyttet mod strømsvigt, brand, vandskade mv. D6 E1 F1 F F3 G1 G H1 H Systemer, data og andre it-ressourcer er beskyttet mod virus. En plan for genoptagelse af kommunens primære it-baserede forretningsprocesser efter en katastrofe er udarbejdet, afprøvet og ledelsesgodkendt og vedligeholdes løbende. Tilretninger til applikationer er tilfredsstillende testet, godkendt og implementeret, og de tilrettede funktioner i applikationen er i overensstemmelse med ledelsens og brugernes forventninger. Væsentlige applikationer kan vedligeholdes og supporteres. Nye applikationer udvikles/indkøbes og implementeres i overensstemmelse med ledelsens forventninger og brugernes behov. Tilretninger til databaser er tilfredsstillende testet og implementeret, og databaser fungerer i overensstemmelse med ledelsens forventninger. Databaser kan vedligeholdes og supporteres. Netværks- og kommunikationssoftware kan vedligeholdes og supporteres, og ledelsen sikrer, at ændringer eller nyanskaffelser sker i overensstemmelse med kommunens behov, samt at ændringer testes og dokumenteres på tilfredsstillende vis. Systemsoftware kan vedligeholdes og supporteres, og ledelsen sikrer, at ændringer eller nyanskaffelser sker i overensstemmelse med kommunens behov, samt at ændringer testes og dokumenteres på tilfredsstillende vis. 13

8 Deloitte 6 B. It-drift Kontrolmål B Data sikkerhedskopieres, opbevares og kan fremskaffes i overensstemmelse med gældende lovgivning og kommunens behov. Risiko Utilstrækkelige backupprocedurer øger risikoen for, at kommunen lider unødige økonomiske tab, som følge af, at data ikke kan retableres efter et nedbrud, eller at gældende lovgivning på området ikke overholdes Sikkerhedskopiering test Vi har fået oplyst, at der ikke periodisk tages stilling til, om der er gennemført retableringer af data i tilfredsstillende omfang til at underbygge formodningen om, at backup kan anvendes som forventet. Endvidere har vi fået oplyst, at der ikke gennemføres test af fuld recovery, med retablering af hele systemer og data. Vi har konstateret, at kommunen har foretaget restoretests i samarbejde med dmsave. Punktet lukkes. Vurdering i forhold til ISO7001: Manglende efterlevelse af Backup af information. Vi anbefaler, at der periodisk gennemføres en fuld dokumenteret recovery af udvalgte systemer, data og servere, med henblik på at kontrollere, at dette kan lade sig gøre som forventet. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.

9 Deloitte 7 D. It-sikkerhed Kontrolmål D1 En ledelsesgodkendt it-sikkerhedspolitik er udarbejdet med udgangspunkt i en it-risikoanalyse, og kommunikeret til hele kommunen. Risiko Manglende overordnet it-sikkerhedspolitik, udarbejdet med udgangspunkt i en it-risikoanalyse og kommunikeret til medarbejderne, medfører risiko for, at den etablerede sikkerhed i forbindelse med it-anvendelsen ikke i tilstrækkelig grad opfylder kommunens behov. It-sikkerhedspolitik Vi har konstateret, at kommunen har udarbejdet en itsikkerhedspolitik, men at denne ikke er fuldt tidssvarende. Vi har dog fået oplyst, at kommunen forventer at opdatere it-sikkerhedspolitikken i løbet af 009. Herfor forventes forholdet udbedret fremover. Vi anbefaler, at it-sikkerhedspolitikken opdateres og gøres tidssvarende Vi har konstateret, at der er udarbejdet en itsikkerhedspolitik, og at denne senest er opdateret i 010. Endvidere har vi fået oplyst, at denne er godkendt af itchefen og er forelagt sikkerhedsudvalget, hvor denne forventes at blive godkendt d. 9/ Punktet lukkes. 3 Vurdering i forhold til ISO7001: Manglende efterlevelse af Formaliseret itsikkerhedspolitik It-risikoanalyse Vi har fået oplyst, at der ikke er udarbejdet en overordnet og ledelsesgodkendt it-risikoanalyse. En manglende eller utilstrækkelig it-risikoanalyse medfører risiko for, at det etablerede it-sikkerhedsniveau ikke i tilstrækkeligt omfang imødegår de risici, som vurderes som relevante. Vi anbefaler, at der udarbejdes en it-risikoanalyse med henblik på at fastlægge det it-sikkerhedsniveau, som ledelsen ønsker for virksomheden. Endvidere anbefaler vi, at itrisikoanalysen opdateres periodisk - minimum en gang årligt - samt når andre faktorer indikerer nødvendigheden heraf, f.eks. større planlagte ændringer eller uventede hændelser af it-sikkerhedsmæssig karakter. Vurdering i forhold til ISO7001: Manglende efterlevelse af Fortsat forretningsdrift og risikovurdering. Kontrolmål D Adgang til systemer, data og andre it-ressourcer administreres, vedligeholdes og overvåges i overensstemmelse med kommunens behov. Risiko Manglende eller svage procedurer vedrørende administration, overvågning og vedligeholdelse af adgang til systemer, data og andre it-ressourcer medfører øget risiko for uautoriseret adgang til disse og dermed risiko for, at it-sikkerheden ikke er i overensstemmelse med kommunens behov. Brugerrettigheder nedlæggelser Vi har konstateret, at flere fratrådte brugere fortsat er aktive i Windows Server 003. Vi anbefaler, at aktive (ikke-disablede) brugerprofiler gennemgås nærmere, og at brugerprofiler som ikke længere er nødvendige, som minimum disables Vi har gennem vores stikprøvestørrelse konstateret, at fratrådte brugere var slettet fra Windows Server AD. Endvidere har vi konstateret, at sletning af fratrådte brugere er foretaget ifølge proceduren. Punktet lukkes. Vurdering i forhold til ISO7001: Manglende efterlevelse af Brugernedlæggelse. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.

10 Deloitte 8 D. It-sikkerhed Brugerrettigheder periodisk revurdering Vi har fået oplyst, at der periodisk følges op på fratrådte brugere, men at gennemgang ikke var endeligt færdigbehandlet på revisionstidspunktet. Vi har endvidere konstateret, at der fortsat ikke bliver foretaget periodisk revurdering af tildelte rettigheder til brugere. Vi har konstateret, at der fortsat ikke bliver foretaget periodisk revurdering af tildelte rettigheder til brugere. Vurdering i forhold til ISO7001: Manglende efterlevelse af Revurdering af brugeradgangsrettigheder. Vi anbefaler, at der periodisk foretages en dokumenteret revurdering af tildelte rettigheder til brugere for relevante systemer og platforme It-sikkerhedslogning Vi har konstateret, at der i it-sikkerhedspolitikken stilles krav om logning af brugeres handlinger med henblik på at opdage forsøg på uautoriserede handlinger, herunder forsøg på uautoriseret tilgang til systemer. Vi har fået oplyst, at der ikke er etableret en kontrol med henblik på at sikre, at specificerede logningskrav implementeres på relevante platforme. Endvidere har vi fået oplyst, at der ikke periodisk sker gennemgang af relevante logs eller alarmer på baggrund af disse. Vi anbefaler, at der etableres kontroller, der sikrer, at krav til sikkerhedsmæssig logning på relevante platforme og systemer implementeres og overholdes, samt at der gennemføres en dokumenteret periodisk gennemgang af relevante logs fra disse platforme og systemer. Vi har fået oplyst, at der kun fortages logning af hændelser på Windows. Endvidere har vi fået oplyst, at der ikke gennemføres en dokumenteret periodisk gennemgang. Vurdering i forhold til ISO7001: Manglende efterlevelse af Audit log. Windows Server 003 it-sikkerhedslogning Vi har konstateret, at logning af Policy Change ikke er implementeret. Forholdet er uændret. Vi anbefaler, at logning af Policy Changes implementeres med logning af såvel gennemførte ændringer (Success) som fejlslagne ændringer (Failure) bliver registreret, og dermed muliggør en opfølgning Manglende eller utilstrækkelig logning af Policy Changes medfører risiko for, at ændringer til f.eks. overordnede sikkerhedsmæssige ændringer, ændringer i konfiguration af logs og tilsvarende, ikke sker i overensstemmelse med forventningerne hertil, samt at forsøg på ændringer ikke følges op i tilstrækkeligt omfang. Vurdering i forhold til ISO7001: Manglende efterlevelse af Audit log. Vi har konstateret, at logning af System Events ikke er implementeret. Forholdet er uændret. Vi anbefaler, at logning af System Events implementeres således, at såvel gennemførte (Success) og fejlslagne (Failure) handlinger registreres Manglende eller utilstrækkelig logning af System Events - som f.eks. sletning af logfiler, nedlukning og genstart af servere, ændringer af systemtiden og tilsvarende forhold, medfører risiko for, at sådanne hændelser - eller forsøg herpå - ikke registreres i fornødent omfang. Vurdering i forhold til ISO7001: Manglende efterlevelse af Audit log. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.

11 Deloitte 9 D. It-sikkerhed Vi har konstateret, at logning af Account Management ikke er implementeret. Forholdet er uændret. Vi anbefaler, at logning af Account Management implementeres således, at såvel gennemførte (Success) og fejlslagne (Failure) handlinger registreres Manglende eller utilstrækkelig logning af Account Management - som f.eks. oprettelse af brugere, ændring af passwords, disabling af brugere, ændringer af rettigheder og tilsvarende forhold, medfører risiko for, at sådanne hændelser - eller forsøg herpå - ikke registreres i fornødent omfang. Vurdering i forhold til ISO7001: Manglende efterlevelse af Audit log. Vi har konstateret, at logning af Privilege Use ikke er implementeret. Forholdet er uændret. Vi anbefaler, at der som udgangspunkt implementeres logning af brugeres fejlslagne forsøg (Failure) på at anvende privilegier Manglende eller utilstrækkelig logning af Privilege Use medfører risiko for, at f.eks. fejl i forbindelse med brugeres forsøg på at anvende privilegier ikke registreres i fornødent omfang. Vurdering i forhold til ISO7001: Manglende efterlevelse af Audit log. Kontrolmål D3 Den logiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med kommunens behov. Risiko Svagheder i den logiske sikkerhed øger risikoen for, at interne eller eksterne personer får uautoriseret adgang til it-ressourcerne, og dermed mulighed for at slette, ændre eller kopiere programmer eller data, eller i øvrigt kompromittere kommunens itanvendelse. Endvidere øger svagheder risikoen for, at adgangen til itsystemerne ikke understøtter den i kommunen etablerede organisatoriske funktionsadskillelse. Ekstern sårbarhedsscanning På baggrund af den udførte sårbarhedsscanning har vi konstateret sårbarheder i kommunens interneteksponerede systemer. Vi anbefaler, at der etableres kontroller, der sikrer, at krav til sikkerhedsmæssige svagheder i kommunens interneteksponerede systemer efterkommes Detaljeret resultat af den udførte opfølgning på sårbarhedsscanning er rapporteret i bilag 1. Vurdering i forhold til ISO7001: Manglende efterlevelse af Kontrol af tekniske sårbarheder. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.

12 Deloitte 10 D. It-sikkerhed Windows Server 003 it-sikkerhedskonfiguration Vi har konstateret, at 07 brugere (som ikke er disabled) er konfigureret således, at de kan undtages for brug af password. Dette omfatter bl.a. brugerne: Vi anbefaler, at alle personlige brugerprofiler underlægges krav om brug af password kvm mgj mru dan akl linh mpe allu css Vi har konstateret, at ingen brugere (som ikke er disabled) er konfigureret således, at de kan undtages for brug af password. Punktet lukkes. Manglende krav om brug af passwords for alle brugerprofiler medfører øget risiko for, at sikkerheden ikke kan opretholdes på systemet. Vi har konstateret 139 (ikke disablede) brugerprofiler som ikke har fået sat et password. Dette omfatter brugerne: Vi anbefaler, at alle aktive brugerprofiler underlægges krav om brug af password, samt at brugerprofiler uden passwords undersøges nærmere jpe- pjc jul mea chs sul hr tbh Vi har konstateret et større antal brugerprofiler, som ikke har fået sat et password. Manglende brug af passwords for aktive brugerprofiler medfører øget risiko for, at sikkerheden på systemet kan kompromitteres. Vurdering i forhold til ISO7001: Manglende efterlevelse af Styring af password. Vi har konstateret, at et højt antal brugerprofiler er administratorer på Windows Server 003. Vi anbefaler, at antallet af brugerprofiler med administrative privilegier revurderes og nedbringes såfremt muligt Vi har konstateret, at et større antal personlige brugerprofiler er administratorer på Windows Server 003. Tildeling af administrative privilegier til for mange brugerprofiler medfører risiko for, at sikkerheden ikke kan opretholdes på systemet. Vurdering i forhold til ISO7001: Manglende efterlevelse af 11.. Udvidede rettigheder. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.

13 Deloitte 11 D. It-sikkerhed Vi har konstateret et større antal brugerprofiler på Windows Server 003, som ikke har været logget på i et længere tidsrum. Heraf: Vi anbefaler, at aktive (ikke-disablede) brugerprofiler gennemgås nærmere, og at brugerprofiler som ikke længere er nødvendige, som minimum disables lkj 199 dage kilo 18 dage uim 19 dage moj 143 dage mme 376 dage hsa 389 dage lgr 40 dage clo 310 dage mato 99 dage Vi har konstateret et større antal brugerprofiler, som ikke har fået skiftet password i lang tid. Aktive (ikke-disablede) brugerprofiler som ikke anvendes længere medfører en øget risiko for misbrug af disse, og dermed risiko for, at sikkerheden på systemet kan blive kompromitteret. Vurdering i forhold til ISO7001: Manglende efterlevelse af Revurdering af brugeradgangsrettigheder. Vi har konstateret 389 brugerprofiler (ikke disablede), som ikke har været logget på Windows Server 003, heraf: Vi anbefaler, at aktive (ikke-disablede) brugerprofiler gennemgås nærmere, og at brugerprofiler som ikke er nødvendige, som minimum disables ssc vij frr sul aros hpe Vi har konstateret et større antal brugerprofiler, der aldrig har været logget på Windows. Aktive (ikke-disablede) brugerprofiler som ikke anvendes medfører en øget risiko for misbrug af disse, og dermed risiko for at sikkerheden på systemet kan blive kompromitteret. Vurdering i forhold til ISO7001: Manglende efterlevelse af Revurdering af brugeradgangsrettigheder. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.

14 Deloitte 1 D. It-sikkerhed Kontrolmål D4 Den fysiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med kommunens behov. Risiko Svagheder i den fysiske sikkerhed kan forøge risikoen for, at interne eller eksterne personer får uautoriseret adgang til itressourcerne og dermed får mulighed for potentielt at kompromittere kommunens it-anvendelse. Adgang til kritiske lokationer Vi har fået oplyst, at tildelingen af adgang til serverrummet ikke autoriseres formelt og dokumenteret. Yderligere har vi fået oplyst, at der ikke periodisk bliver foretaget en revurdering af medarbejdere med adgang til serverrummet. Vi anbefaler, at tildelte adgange til serverrummet periodisk revurderes, samt at adgange kun tildeles på baggrund af formelle dokumenterede autorisationer Vi har fået oplyst, at forholdet er uændret. Manglende eller utilstrækkelig kontrol med tildelingen af adgange til centrale it-ressourcer - herunder serverrum - medfører risiko for, at for mange adgange tildeles, og dermed risiko for misbrug af adgange. Vurdering i forhold til ISO7001: Manglende efterlevelse af 9.1. Fysisk adgangskontrol. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.

15 Deloitte 13 E. Nødberedskab Kontrolmål E1 En plan for genoptagelse af kommunens primære it-baserede forretningsprocesser efter en katastrofe er udarbejdet, afprøvet og ledelsesgodkendt, og vedligeholdes løbende. Risiko Utilstrækkelige, uafprøvede eller ikke-godkendte nødplaner for håndtering af større nedbrud i it-anvendelsen øger risikoen for, at retablering tager længere tid, end ledelsen forventer, og at kommunen som følge heraf lider ikke kalkulerede eller unødige økonomiske tab Beredskabsplaner test Vi har fået oplyst, at den etablerede beredskabsplanlægning ikke er testet. Vi har konstateret, at beredskabsplanen ikke er testet. Endvidere har vi fået oplyst, at der på nuværende tidspunkt hersker usikkerhed om hvornår denne forventes at blive testet. Manglende eller utilstrækkelig test af den etablerede beredskabsplanlægning medfører risiko for, at de omfattede systemer og platforme ikke kan retableres i overensstemmelse med forventningerne. Vurdering i forhold til ISO7001: Manglende efterlevelse af Afprøvning, vedligeholdelse og revurdering af beredskabsplaner. Vi anbefaler, at der som minimum gennemføres skrivebordstest af kritiske forudsætninger i beredskabsplanlægningen, samt at kritiske delelementer i denne - f.eks. retablering via backupmedier - tillige afprøves og vurderes. Gennemførte test bør dokumenteres og godkendes, og identificerede ændringsbehov på baggrund af testen bør indarbejdes i beredskabsplanlægningen. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.

16 Deloitte 14 Bilag 1: Detailbemærkninger vedr. ekstern sårbarhedsscanning Ekstern sårbarhedsscanning Pkt. Observation Vurdering Anbefaling Pri Informationsindsamling Vi har observeret, at der på Greve Kommunes hjemmeside er offentligt tilgængelige adresser på ansatte. Vi har fået oplyst, at forholdet er uændret. De omtalte e- mailadresser er ønsket eksponeret af Greve Kommune. Vi vurderer, at tilstedeværelsen af følsomme informationer om kommunen på internettet øger muligheden for kortlægning og identifikation af potentielle angrebsvektorer, der kan anvendes til mere målrettede angreb på kommunen. Dette øger risikoen for at kommunens systemer og data kan kompromitteres. Vi anbefaler, at kommunen har en politik omkring brugen af internettet, herunder anvendelse af fora, nyhedsgrupper mv. Endvidere anbefaler vi, at det undersøges hvorvidt eksponeringen af adresser for kommunens ansatte er nødvendig på hjemmesiden Eksponerede services Vi vurderer, at kommunens firewall tillader trafik som potentielt udgør en unødvendig risiko for kommunen. Vi har observeret, at Greve Kommunes firewall ikke er optimalt konfigureret. På ip-adressen tillades adgang til flere administrative services, herunder telnet, som er ukrypteret. Vi har desuden observeret, at Kommunens router på ipadresserne og muliggør adgang til login service. Alle eksponerede services udgør potentielt en risiko for tab af fortrolighed, integritet og tilgængelighed for de systemer hvor de er eksponerede, men i nogle tilfælde også for hele kommunens infrastruktur. Derfor bør kun services med et arbejdsbetinget behov eksponeres. For en række af de ældre standard services findes der i dag krypterede alternativer, som man bør benytte for at beskytte kommunens data. Vi anbefaler, at kommunen revurderer sin politik for hvilke typer af trafik til hvilke servere, der skal tillades igennem den pågældende firewall. Vi anbefaler generelt, at kun trafik der udfylder et arbejdsbetinget behov tillades gennem firewallen. 1 Vi har fået oplyst, at omtalte services ikke er længere eksponeret, idet Greve Kommune har fået ny firewall, der ikke administreres på samme måde længere. Punktet lukkes. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.

17 Deloitte 15 Ekstern sårbarhedsscanning Pkt. Observation Vurdering Anbefaling Pri VPN konfiguration Vi har observeret, at en eller flere VPN services er tilgængelige og ikke er konfigureret hensigtsmæssigt. Vi har på den måde konstateret, at der på nedenstående ipnumre er adgang til servicen PPTP FW Webmail Skolenet AV-server Vi har fået oplyst, at forholdet er uændret. De fire ip-adresser skal kunne tilgås via pptp. Vi vurderer, på baggrund af PPTPs alder, at denne er let at sætte op sikkerhedsmæssigt svagt, således at der er risiko for svag kryptering og mulighed for automatiserede brute force angreb. Vi vurderer derfor, at kommunens VPN udstyr potentielt har konfigurationsmæssige svagheder, som udgør en trussel mod fortroligheden af VPN forbindelser, og dermed kommunens data. Vi anbefaler, at kommunen etablerer en konfigurationsstandard samt procedurer for idriftsættelse og vedligeholdelse af VPN udstyr SSL konfiguration Vi har observeret, at SSL services er tilgængelige, og ikke er konfigureret hensigtsmæssigt. Vi har således konstateret, at der på ip-adresserne , og er adgang til en https server, der understøtter SSLv. Vi vurderer, at svagheder i SSL konfigurationen potentielt kan føre til tab af fortrolighed og integritet. Vi anbefaler, at Greve Kommune omkonfigurerer de nævnte webservere, således at SSLv ikke understøttes, og implementerer en baseline for konfiguration af webservere, således at understøttelse af SSLv er slået fra på alle kommunens webservere. Vi har fået oplyst, at forholdet er uændret Svag adgangskontrol Vi har observeret, at kommunen benytter sig af svage adgangskontroller. Der er ukrypteret adgang til loginsiden på Greve Kommunes CMS system på følgende adresse: Vi vurderer, at de svage adgangskontroller øger sandsynligheden for, at en målrettet angriber kan opnå uautoriseret adgang. Dette kan føre til tab af fortrolighed og integritet af kommunens data. Vi anbefaler, at kommunen foretager en risikovurdering af de systemer og bagvedliggende data, som eksponeres mod internettet, og overvejer at begrænse adgangen eller implementere stærke adgangskontroller. 1 Vi har fået oplyst, at CMS systemet blev skiftet 009, og der er fortsat ikke adgang til siden, idet det gamle system ikke vil blive anvendt. Punktet lukkes. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.

18 Deloitte 16 Ekstern sårbarhedsscanning Pkt. Observation Vurdering Anbefaling Pri Webserver konfiguration Vi har observeret, at kommunen ikke har konfigureret sin webserver hensigtsmæssigt. Vi har således observeret, at NTLM autentifikation er slået til på webserveren med ip-adressen Vi har fået oplyst, at forholdet er uændret. Med Greve Kommunes CMS system kan man kun tilgå data fra intern server. Overførelsen sker via https, og er derfor sikker. Dette er kommet med CMS. Dette muliggør, at en potentiel angriber kan foretage et brute force angreb på alle ikke-administrative brugerkonti, og på den måde opnå uautoriseret adgang til et gyldigt brugernavn og kodeord til serveren. Vi anbefaler, at NTLM autentifikation slås fra på den pågældende webserver, og at der implementeres konfigurationsstandarder. 3 Website Vi har observeret, at der findes sårbarheder i kommunens website, som potentielt kan medføre tab af fortrolighed i forhold til kommunens data. Potentielt kan selve serverens operativsystem kompromitteres. Der er efter vor vurdering ingen grund til at tro at de andre sider i kommunens internet perimeter ikke indeholder lignende fejl, idet disse er bygget på samme webserverplatform og system. Vi anbefaler, at kommunen etablerer standarder og procedurer for udvikling, test og idriftsættelse af websites Således har vi observeret mulighed for cross site scripting angreb, og at der er mulighed for at bruge websiden til at udføre phishing angreb. Vi har fået oplyst, at undersiderne som indeholdte sårbarheder for cross site scripting angreb, og muligheden for at bruge websiden til at udføre phishing angreb, er helt fjernet fra Greve Kommunes hjemmeside. Punktet lukkes. 1 IMM/LLLA T:\Afd1180\10779\1050\Greve kommune GIK END.doc Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Revisionsrapport Revision af generelle it-kontroller 2016

Revisionsrapport Revision af generelle it-kontroller 2016 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Københavns Kommune Koncernservice

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2013 August 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 15. august 2014 Formål Vi har i perioden

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret Maj 2015 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 18. maj

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Kl Indledning v. Lone Strøm, Rigsrevisor

Kl Indledning v. Lone Strøm, Rigsrevisor Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Revision i årets løb for 2016 på områderne omfattet af statsrefusion

Revision i årets løb for 2016 på områderne omfattet af statsrefusion Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk g Socialforvaltningen Att.:

Læs mere

Pr. 31. december 2014

Pr. 31. december 2014 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Emini A/S Uafhængig revisors

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

30. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

30. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 30. marts 2016 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2015 Økonomi- og Stabschefchef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 30.

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013 Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor 5. september 2013 Den nye revisionsmetode Køreplan til, hvordan en it-specialist kan medvirke i planlægningen (side 1 af 2) Opdatere

Læs mere

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING 1 Involverede parter 1.1 Virksomheden Navn: CVR.nr. Kontaktperson: Juridiske enheder omfattet af analysen: 1.2 Willis Adresse Forsikringsmægler E-mail / Telefon @willis.dk / 88 139 2 Om virksomheden 2.1

Læs mere

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6 1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende: Statsrevisorernes Sekretariat Christiansborg 1240 København K Justitsministeren Dato: 9. december 2014 Sagsnr.: 2014-0284-0164 Dok.: 1378944 Kære statsrevisorer Ved brev af 2. oktober 2014 har Statsrevisorernes

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Revisionsprotokollat af 27. marts 2011

Revisionsprotokollat af 27. marts 2011 KPMG Statsautoriseret Revisionspartnerselskab AUDIT Borups Allé 177 Postboks 250 2000 Frederiksberg Telefon 38 18 30 00 Telefax 72 29 30 30 www.kpmg.dk Revisionsprotokollat af 27. marts 2011 til årsrapporten

Læs mere

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden?

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? Administrative systemer bundet op mod SRO systemer Hvad med gør vi med IT sikkerheden? Jørgen Jepsen IT-chef Ringkøbing-Skjern Forsyning A/S Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? at

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

It-beredskabspolitik for Ishøj Kommune

It-beredskabspolitik for Ishøj Kommune It-beredskabspolitik for Ishøj Kommune Version Dato Udarbejdet af Ændringer Godkendt af ledelsen 0.1 - Neupart Første udkast - 0.2 - Neupart 2.2 Beredskabs - organisation fastsat. 2.3 Tilgængelighedskrav

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Wannafind. ISAE 3402 Type 2

Wannafind. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Wannafind ISAE 3402 Type 2

Læs mere

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010.

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010. It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud Region Midtjylland 2010. 1 1 Indledning 1.1 Versionshistorie Version Dato Ansvarlig Status Beskrivelse 1.0 2010-05-04 HENSTI Lukket Definition

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Revision i forbindelse med status for Revisionsrapport. Indledning

Revision i forbindelse med status for Revisionsrapport. Indledning Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk g Att.: Adm. direktør Katja

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Miracle Hosting A/S. ISAE 3402 Type 2

Miracle Hosting A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle Hosting A/S ISAE 3402

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant Modtagelseserklæring Modtagelseserklæring for AAU ITS Infrastruktur version 4. Anvendelse Modtagelseserklæringen skal anvendes i forbindelse med projekter drevet af PMO, AIU eller IFS. Projektlederen er

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Redegørelse til Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold for 2014

Redegørelse til Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold for 2014 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Bilag 1 Redegørelse til Ministeriet

Læs mere

IT Relation A/S. ISAE 3402 Type 2

IT Relation A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk IT Relation A/S ISAE 3402 Type

Læs mere

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? 1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? En forudsætning i denne situation er, at der eksisterer kapacitet til at erkende og dokumentere, hvorvidt man er

Læs mere

Redegørelse til Ministeriet for By, Bolig og Landdistrikter for 2012

Redegørelse til Ministeriet for By, Bolig og Landdistrikter for 2012 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Bilag 3 Redegørelse til Ministeriet

Læs mere

Bilag 1. Redegørelse til Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold for 2013

Bilag 1. Redegørelse til Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold for 2013 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Bilag 1 Redegørelse til Ministeriet

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Notat om revisionsberetning nr. 35 vedrørende revisionen af Region Midtjyllands regnskab for 2015

Notat om revisionsberetning nr. 35 vedrørende revisionen af Region Midtjyllands regnskab for 2015 Regionshuset Viborg Koncernøkonomi Skottenborg 26 Notat om revisionsberetning nr. 35 vedrørende revisionen af Region Midtjyllands regnskab for 2015 8800 Vibrog Tel. +45 87285000 koncernoekonomi@stab.rm.dk

Læs mere

Obligatorisk projekt 4: Sikkerhed

Obligatorisk projekt 4: Sikkerhed Obligatorisk projekt 4: Sikkerhed Informationsteknologi i Organisationer og Compuerarkitektur og Operativsystemer Af Frank Kristensen, Mike Odgaard Sørensen og Morten Østerlund Jørgensen Gruppe 3 Side

Læs mere

Sikkerhed og Revision ISAE 3402 og samarbejdet mellem intern systemrevision og ekstern systemrevisor i datacentraler

Sikkerhed og Revision ISAE 3402 og samarbejdet mellem intern systemrevision og ekstern systemrevisor i datacentraler Sikkerhed og Revision 2014 ISAE 3402 og samarbejdet mellem intern systemrevision og ekstern systemrevisor i datacentraler Agenda Lidt om et nyt og stærkere EY i Danmark De regulatoriske krav til systemrevision

Læs mere

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources? It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources? Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. maj 2015 Krav og udfordringer Avanceret infrastruktur og

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Netplan A/S. Periodisk audit, P1. Ledelsessystemcertificering ISO 9001:2008. 2013-aug-30 til 2013-aug-30. Certificeringens dækningsområde

Netplan A/S. Periodisk audit, P1. Ledelsessystemcertificering ISO 9001:2008. 2013-aug-30 til 2013-aug-30. Certificeringens dækningsområde Ledelsessystemcertificering 2013-aug-30 til 2013-aug-30 Certificeringens dækningsområde DNV teamleader: Auditteam: Rådgivning indenfor IT- og telenetværk Jesper Halmind Jesper Halmind Projektnr.:PRJC-300259-2011-MSC-DNK

Læs mere

Ballerup Museums Fond. Revisionsprotokollat til årsregnskab 2013 9. regnskabsår

Ballerup Museums Fond. Revisionsprotokollat til årsregnskab 2013 9. regnskabsår Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Ballerup Museums Fond Revisionsprotokollat

Læs mere

Greve Kommune. It-sikkerhedspolitik. Center for Byråd & Økonomi 2013

Greve Kommune. It-sikkerhedspolitik. Center for Byråd & Økonomi 2013 Greve Kommune It-sikkerhedspolitik Center for Byråd & Økonomi 2013 Indhold 1. Introduktion til it-sikkerhedspolitikken...4 Baggrund...4 Formål...4 Gyldighed og omfang...5 2. Organisation og ansvar...5...5

Læs mere

Redegørelse til Ministeriet for By, Bolig og Landdistrikter for 2012

Redegørelse til Ministeriet for By, Bolig og Landdistrikter for 2012 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Bilag 3 Redegørelse til Ministeriet

Læs mere

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014 Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb Februar 2014 RIGSREVISORS NOTAT TIL STATSREVISORERNE I HENHOLD TIL RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige

Læs mere