DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

Størrelse: px
Starte visningen fra side:

Download "DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING"

Transkript

1 JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer Ellebjergvej 52, 2. sal DK-2450 København SV CVR-nr Tlf Afdelinger i: Aalborg, Holstebro, Kolding København, Odense, Skærbæk, Vordingborg og Aarhus RSM plus er et selvstændigt medlem af RSM International, en uafhængig kæde af selvstændige revisionsog konsulentfirmaer med kontorer i mere end 100 lande

2 Erklæringsopbygning Kapitel 1: DanDomain A/S ledelseserklæring Kapitel 2: DanDomain A/S beskrivelse af de generelle it-kontroller for driften af hostingaktiviteter. Kapitel 3: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af de generelle it-kontroller, deres udformning og funktionalitet. Kapitel 4: Revisors beskrivelse af kontrolmål, sikkerhedstiltag, test og resultater heraf. /2

3 K APITEL 1: DanDomain A/S ledelseserklæring Beskrivelsen af DanDomain generelle it-kontroller i kapitel 2 er udarbejdet til brug for kunder, der har anvendt eller påtænker at anvende DanDomain hostingaktiviteter, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i deres regnskaber. DanDomain bekræfter hermed, at (A) Den medfølgende beskrivelse, kapitel 2, giver en retvisende beskrivelse af DanDomain hostingaktiviteters generelle itkontroller i hele perioden fra 1. januar december Kriterierne for dette udsagn er, at den medfølgende beskrivelse: (i) redegør for, hvordan kontrollerne var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til styring af de generelle it-kontroller relevante kontrolmål og kontroller udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af DanDomain, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for de generelle it-kontroller (ii) indeholder relevante oplysninger om ændringer i DanDomain generelle it-kontroller foretaget i perioden fra 1. januar december (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af de beskrevne kontroller under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved kontroller, som den enkelte kunde måtte anse som vigtig efter deres særlige forhold. (B) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. januar december Kriterierne for dette udsagn er, at: (i) (ii) (iii) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrer opnåelsen af de anførte kontrolmål, og kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. januar december (C) den medfølgende beskrivelse og de tilhørende kriterier for opnåelse af kontrolmål og kontroller, kapitel 2, er udarbejdet med baggrund i overholdelse af DanDomain standardaftale, grundlaget for hostingaktiviteter og ydelser omkring de generelle it-kontroller. Kriterierne for dette grundlag var: (i) Service Level Agreement Rev. DK 1.06 (ii) Forretningsbetingelser version 2.4 Randers, den 9. juni 2015 Ronnie Bach Nielsen, Adm. direktør DanDomain A/S, Normansvej 1, DK-8920 Randers NV, Tel (+45) , CVR: /3

4 K APITEL 2: DanDomain A/S beskrivelse af de generelle itkontroller for driften af hostingaktiviteter. Indledning Formålet med nærværende beskrivelse er at levere information til DanDomain kunder og deres revisorer vedrørende kravene i ISAE 3402, som er den internationale revisorstandard for erklæringsopgaver om kontroller for serviceleverandører, ISAE Beskrivelsen giver herudover information om de kontroller, der er anvendt for driften i DanDomain hostingaktiviteter i perioden 1. januar december Beskrivelse af DanDomain A/S DanDomain A/S er blandt de førende danske hosting-virksomheder inden for domæneregistrering, webhosting, webshop og IT-Outsourcing. DanDomain A/S kunder spænder bredt fra private til større virksomheder, foreninger og offentlige. Virksomheden er grundlagt i 1999 og har alle årene vækstet organisk. Grundfilosofien for DanDomain A/S defineres ud fra et DNA bestående af 4 kerneværdiord: Empatisk, kundecentrisk, kompetent og ekstraordinær. Dette betyder, at vi sætter kunden i centrum i alt, hvad vi tænker, siger og gør. Med udgangspunkt i vores kompetente medarbejdere er missionen at gøre IT ydelserne så enkle som muligt for kunden kombineret med markedets bedste kundeservice. DanDomain råder over eget State-of-the-art datacenter opbygget efter alle best-practices. Fakta om DanDomain A/S 73 medarbejdere Mere end kunder Grundlagt i 1999 Gazellepris i 2005, 2006, 2007, 2008 og 2009 Initiativtager til og medlem af BFIH DanDomain leverer hostingydelser i et moderne og professionelt hostingcenter. Hostingydelser kan skræddersyes til den enkelte kundes behov, men tager udgangspunkt i standardløsninger. Vi tilbyder ydelser lige fra enkle domænekøb og outsourcing løsninger til egenudviklet shopsystem. Omfang for denne beskrivelse DanDomain A/S er leverandør af services inden for IT, og kerneaktiviteten i DanDomain er leverance af hosting og driftsydelser. Overvågning og support er enten på kunders egne platforme placeret i DanDomains datacenter, eller på løsninger der afvikles på DanDomains egen infrastruktur, som kunder lejer sig ind på. DanDomain har som leverandør ansvaret for at etablere og opretholde passende procedurer og kontroller med henblik på at finde og forebygge fejl, for således at overholde de i aftalerne stillede krav. Det er netop denne kerneaktivitet; hosting og driftsydelser, samt drift og vedligeholdelse af dette, der danner grundlag for nærværende beskrivelse. Forretningsstrategi/ it-sikkerhedsstrategi Det er DanDomain strategi, at der i forretningen skal være indbygget den nødvendige sikkerhed, således at selskabet ikke påføres uacceptable risici. DanDomain har tre overordnede strategiske pejlepunkter: /4

5 DanDomain hjælper danske virksomheder til en optimalt brug af moderne informationsteknologi DanDomain arbejder primært med administrative systemer, netværksløsninger og internet/intranetløsninger DanDomain er en god arbejdsplads for en stabil og veluddannet medarbejderstyrke DanDomain arbejder med it-sikkerhed på et forretningsstrategisk niveau og arbejder derfor løbende med at sikre et højt service- og kvalitetsniveau. Ledelsen prioriterer gennem selskabets sikkerhedspolitik, at it-sikkerhed skal være og er en vigtig del af selskabets virksomhedskultur. DanDomain har omkring it-sikkerhedsstrategien valgt at tage udgangspunkt i ISO27002:2014, og har således brugt ISOmetodikken til at implementere de relevante sikringsforanstaltninger inden for følgende områder: Informationssikkerhedspolitik Organisering af informationssikkerhed Medarbejdersikkerhed Styring af aktiver Adgangsstyring Fysisk sikkerhed og miljøsikring Driftssikkerhed Kommunikationssikkerhed Leverandørforhold Styring af informationssikkerhed Informationssikkerhedsaspekter ved nød-, beredskabs og reetableringsstyring De implementerede kontrolmål og sikringsforanstaltninger hos DanDomain fremgår af bilag 1 til denne beskrivelse. DanDomain A/S organisation og organisering af it-sikkerheden DanDomains formelle ansvar for IT-sikkerhedspolitik og procedurer er placeret hos CSO/Adm. direktør. IT-sikkerhedspolitikken godkendes af virksomhedens bestyrelse. Hos DanDomain eksisterer der en klar opdelt organisation, hvad ansvar angår, og DanDomain har udførlige ansvars- og rollebeskrivelser på alle niveauer lige fra ledelsesniveau til de enkelte driftsmedarbejdere. Alle medarbejdere holdes løbende opdateret med ændringer i IT-sikkerhedspolitikken. Koordinering af udmelding og undervisning planlægges i sikkerhedsrådet. Ved brug af eksterne samarbejdspartnere udarbejdes samarbejdsaftale inden arbejde påbegyndes. Risikostyring i DanDomain A/S Det er DanDomains politik, at de risici, der følger af selskabets aktiviteter, skal afdækkes eller begrænses til et sådant niveau, at selskabet vil kunne opretholde en normal drift. DanDomain gennemfører risikostyring og interne kontroller på flere områder og niveauer. Der gennemføres en årlig risiko- og trusselvurdering. DanDomain har indarbejdet faste procedurer for risikovurdering af forretningen og specielt hostingcenteret. Vi sikrer dermed, at de risici, som er forbundet med de services og ydelser, vi stiller til rådighed, er minimeret til et acceptabelt niveau. Risikovurdering foretages periodisk, samt når vi ændrer i eksisterende systemer eller implementerer nye systemer, som vurderes relevante i forbindelse med at revurdere vores generelle risikovurdering. Ansvaret for risikovurderingen ligger hos den adm. direktør og skal efterfølgende forankres og godkendes hos virksomhedens ledelse. Som led i ovenstående it-sikkerhedsstrategi arbejder DanDomain med den danske/internationale standard for it-sikkerhed - ISO27002 som primær referenceramme for it-sikkerheden. Arbejdsprocessen omkring it-sikkerhed er en kontinuerlig og dynamisk proces, som sikrer, at DanDomain til hver en tid er i overensstemmelse med kunders krav og behov. Håndtering af it-sikkerhed Ledelsen hos DanDomain har det daglige ansvar for it-sikkerhed, og derved sikres det, at de overordnede krav og rammer for it-sikkerhed er overholdt. Gennem den centrale it-sikkerhedspolitik har ledelsen beskrevet DanDomains struktur for itsikkerhed. It-sikkerhedspolitikken skal som minimum revideres én gang årligt. /5

6 DanDomains kvalitetsstyringssystem er defineret ud fra den overordnede målsætning om at levere stabil og sikker it-drift til kunderne. For at kunne gøre det er det nødvendigt, at vi har indført politikker og procedurer, der sikrer, at vores leverancer er ensartede og gennemsigtige. DanDomains it-sikkerhedspolitik er udarbejdet med reference til ovenstående, og er gældende for alle medarbejdere og for alle leverancer. Ved fejl eller sikkerhedsbrist i vores driftsmiljø udbedres fejlen/sikkerhedshullet omgående. Alle servere og netværksenheder er dokumenteret i DanDomain dokumentationssystem. Her logges alle ændringer af vores system. Konfigurationsfiler til netværksenheder (firewall, routere, switche og lignende) ligger gemt i vores dokumentationssystem. Sikkerhedspolitikken sætter de grundlæggende politikker for DanDomains infrastruktur, og omhandler ikke forhold vedrørende specifikke produkter, ydelser eller brugere. Sikkerhedspolitikken er udarbejdet, så DanDomain har ét fælles regelsæt. Dermed opnår vi et stabilt driftsmiljø og et højt sikkerhedsniveau. Vi foretager løbende forbedringer af både politikker, procedurer og den operationelle drift. It-sikkerhedspolitikken er opbygget med ISO27002 som referenceramme. På it-sikkerhedsområdet har DanDomain implementeret de nødvendige procedurer og kontroller, i forhold til de enkelte områder inden for ISO27002, som er defineret i bilag 1, som viser sikkerhedsstrukturen og de kontrolmål, som er implementeret hos DanDomain. HR, medarbejdere og uddannelse Alle hos DanDomain skal leve op til den rolle, som er tilegnet dem samt følge vores procedurer jf. vores it-sikkerhedspolitik. Dette er for at sikre, at bl.a. sikkerhedsrelaterede forhold eskaleres og håndteres. Hos DanDomain har det topprioritet, at man passer på kunders data, virksomhedens udstyr og dermed forretningen. Rolle- og ansvarsbeskrivelsen, herunder opgaver og ansvar i forhold til sikkerheden, er defineret i de udarbejdede rollebeskrivelser, medarbejdernes ansættelseskontrakt, samt i it-sikkerhedspolitikken. Gennerelle vilkår for ansættelse omfatter, at medarbejderen til enhver tid er underlagt den gældende it-sikkerhedspolitik. DanDomain betragter medarbejderne som vigtige aktiver, og fører en struktureret metodik i forhold til medarbejdernes kvalifikationer, uddannelse og certificeringer. Der afholdes løbende, dog minimum årligt, kurser, foredrag samt andre relevante aktiviteter til sikring af, at relevante medarbejdere og evt. eksterne samarbejdspartnere holdes ajour med sikkerhed og bevidstgøres om evt. nye trusler. Alle udførende konsulenter har kompetencer inden for de områder, de beskæftiger sig med. Det dokumenteres ved hjælp af relevante certificeringer og intern uddannelse. DanDomain skal leve op til en række krav fra Microsoft, herunder specifikke krav om at et bestemt antal konsulenter har bestået bestemte produktcertificeringer, som løbende skal fornyes. DanDomain sikrer via løbende produkttræning og kursusdeltagelse at opretholde denne høje certificerings status. Fysisk sikkerhed DanDomain har sit eget TIER3 datacenter. Dette TIER-level stiller krav om en høj grad af redundans på de fleste delte infrastrukturkomponenter (køling, UPS mv.). DanDomains datacenter er placeret på indhegnet grund. Hoveddøren er altid låst og kan kun oplåses af medarbejdere med adgangskort. Datacenteret er beliggende i en kælder, hvortil der er dobbelte ståldøre samt sikkerhedsrullegitre. Alene autoriserede personer får adgang til lokalerne via den etablerede procedure, og der følges periodisk, minimum årligt, op på hvilke personer, der har denne adgang. /6

7 Eksterne personer (leverandører eller kunder) får kun adgang til lokalet i følgeskab med en autoriseret medarbejder. Alle virksomhedens lokaler er sikret med tyverialarm, som i tilfælde af indbrud alarmerer den private vagtcentral, og relevante personer hos DanDomain alarmeres via SMS og . Ingen uvedkommende vil kunne gå uhindret omkring i DanDomains kontorer, idet receptionen er bemandet og yderdøre er aflåste. Til sikring af driftsfaciliteterne anvendes køle- og brandanlæg, der periodisk testes og serviceres. Endvidere er der monteret tilbageløbssikringer på alle kloakker og afløb, og der er monteret fugtmåler i serverrum og tilstødende lokaler og gang. Der er tillige opsat systemer, som overvåger temperatur og røgudvikling i serverrummet. Serverne er fysisk placeret i et aflåst lokale, som har monteret køling og brandslukning mv. Serverrummet indeholder centralt netværksudstyr, og er således sikret på samme vis som servere. Strømforsyning til datacenterdrift er UPS og generator beskyttet. Vedligeholdelse af UPS, køl, generatorer mv. håndteres af vores leverandør jf. serviceaftale. Vedligehold planlægges og koordineres med datacenteransvarlig medarbejder, der ligeså er til stede, når vedligehold udføres i selve datacenteret. Vi fører natligt data til vores co-location hos vores underleverandør, herunder backup af kunders data og systemer. Vi har en aftale med den pågældende leverandør om housing af vores egne servere, og der er implementeret tilsvarende foranstaltninger mod tyveri, brand, vand og temperatur, som vi har i vores eget serverrum. Brugerstyring/ adgangssikkerhed Hos DanDomain er der etableret politik for adgangstildeling. Politikken er en del af vores it-sikkerhedspolitik. DanDomains kunders brugere oprettes alene på baggrund af vores kunders ønske. Vores egne brugere oprettes alene på baggrund af skriftlig autorisation fra systemejer. DanDomains it-sikkerhedspolitik foreskriver, at medarbejdernes kodeord er personlige, og det alene er brugeren selv, der må kende kodeordet. Medarbejderne skriver årligt under på, at de har læst og forestået seneste version af itsikkerhedspolitikken. Den logiske sikring skal sikre, at kun autoriserede brugere har adgang til systemerne. Krav til password - alle brugere oprettet i DanDomain centrale brugerdatabase skal skifte password hver 90. dag. Password skal være på mindst 8 tal eller bogstaver, og de seneste 24 passwords kan ikke bruges igen. Krav til pauseskærm - pauseskærm er aktiveret på alle vores brugere for at beskytte dem mod uautoriseret adgang. Overvågning DanDomain har etableret automatisk overvågning af servere, storagesystemer, netværk, m.v. og har 1. line support personale på vagt 24/7/365. Ligeledes er 2nd og 3rd level support på vagt i en turnus ordning således, at nødvendig kompetence er til rådighed 24/7/365. Hvis en fejl konstateres, afsendes alarm både visuelt på en overvågningsskærm og på SMS. Opstår en situation, hvor der konstateres en fejl på en komponent, der ikke er en del den automatiske overvågning, tages der skridt til, at den fremover registreres i systemet. Hostingcenteret overvåges med hensyn til strømafbrydelser, temperatur, brand, vand, luftfugtighed, og hele hostingcenteret er i øvrigt kameraovervåget. /7

8 Hvis der sker hændelser, som kan påvirke driften, vil overvågningssystemet automatisk alarmere vagtberedskabet, og der forefindes en indarbejdet procedure for eskalation, sluttende med at den adm. direktør involveres. Drift af hosting-aktiviteter Faste driftsopgaver udføres med fast interval. Disse opgaver styres i DanDomains driftsafdeling for manuelle driftsopgaver, og programmatisk af egenudviklet jobqueue. Alle kontroller mht. faste opgaver befinder sig ved drift og kontrolleres i høj grad af CSO/SO, eller driftschef. Backup Formålet med backup er at sikre, at kundens data i DanDomains hostingcenter kan genskabes, nøjagtigt og hurtigt, så kunderne undgår unødvendig ventetid. Der tages kryds backup af alle data til andet fysisk serverrum. DanDomain sikrer at kunne genskabe systemer og data på hensigtsmæssig og korrekt vis og efter de aftaler, der eksisterer med DanDomains kunder. DanDomain har etablereret en testplan for verificering af, hvorvidt sikkerhedskopieringen fungerer, samt en test af, hvordan systemer og data praktisk kan reetableres. Der føres en log over disse tests, så der kan følges op på, om der foreligger forbedringsmuligheder for procedurer og processer. Med mindre andet er aftalt med kunderne, foretager DanDomain sikkerhedskopiering af hele deres miljø. DanDomain foretager sikkerhedskopiering af egne systemer og data på samme vis, som for sine kunders systemer og data. DanDomain har udarbejdet faste procedurer og beskrivelser for opsætning og vedligehold. Hver nat føres der en fuld kopi af data fra DanDomains centrale systemer til en co-location ved hjælp af backup-systemet. Dermed er data fysisk separeret fra driftssystemer. En ansvarlig medarbejder sikrer herefter, at sikkerhedskopieringen er sket samt foretager det fornødne, hvis jobbet er fejlet og logfører herefter dette. Patch management / ændringshåndtering Formålet med patch management er at sikre, at alle relevante opdateringer som patches, fixes og service packs fra leverandører implementeres. Dette sker for at sikre systemerne mod nedetid og uautoriseret adgang, og for at implementeringen sker på en kontrolleret måde. Alle servere med adgang fra internettet og terminalservere med Windows opdateres automatisk om natten, mens alle andre servere opdateres manuelt 1 gang månedligt med opdateringer. DanDomain har udarbejdet en fall back plan i forbindelse med patch management. Formålet med fall back planen er at sikre, at systemerne kan komme tilbage i normal drift, hvis opdateringen ikke virker efter hensigten. Styring af it-sikkerhedshændelser DanDomains helpdesk-system, hvori langt de fleste sager for kunder og interne håndteres, er samtidig system til håndtering af sikkerhedshændelser. Heri kan forhold eskaleres således, at opgaver får højere prioritet end andre. Herudover vil sikkerhedshændelser afstedkommet fra henholdsvis egne observationer, alarmering ud fra log- og overvågningssystem, telefoniske henvendelser fra kunder, underleverandører eller samarbejdspartnere, blives eskaleret fra DanDomains hotline til driftsafdelingen med samtidig orientering af ledelsen. Gennem DanDomains medlemskab af BFIH har man etableret kontakt til hotline hos DK-CERT, hvor man gensidigt har aftale om orientering ved væsentlige sikkerhedsrelaterede forhold vedrørende internettrafik. /8

9 Sikkerhedshændelser og svagheder i DanDomain systemer skal rapporteres på en sådan måde, at det er muligt at foretage korrektioner rettidigt. Alle medarbejdere i DanDomain er bekendt med procedurerapportering af forskellige typer hændelser og svagheder, der kan have indflydelse på sikkerheden af DanDomains drift. Sikkerhedshændelser og svagheder skal hurtigst muligt rapporteres til ledelsen. Ledelsen har ansvaret for at definere og koordinere en struktureret ledelsesproces, der sikrer en passende reaktion på sikkerhedshændelser. Beredskabsstyring DanDomain har udarbejdet en formel og fast procedure til styring af beredskabsplanlægningen på alle niveauer. Beredskabsplanen omfatter it-systemer og processer på alle niveauer. Beredskabsplanen er forankret i it-risikoanalysen og vedligeholdes minimum årligt i forlængelse af udførelsen af analysen. I udformningen af beredskabsplaner, og review heraf, vurderes disse løbende i forhold til DanDomains gælden itsikkerhedspolitik. Via medlemsskabet af BFIH (Brancheforeningen for IT-Hosting virksomheder i Danmark) er DanDomain forpligtet til, inden for 3 dage, at kunne retablere enhver enhed i datacenteret. Dette sikres ved, at man har afvejet risici, klassificeret enheder i driftsapparatet og har procedurer, der sikrer, at beredskabsplanlægningen kan foretage udskiftning af driftsplatformen, så de leverede ydelser vil retableres rettidigt. Der foretages løbende real life test af beredskabet. Efter endt udførsel analyseres resultatet og på den baggrund opdateres de relevante elementer, procedurer og planer. Væsentlige ændringer i forhold til it-sikkerhed Ingen væsentlige ændringer for perioden. Kundernes ansvar (komplementerende kontroller hos kunderne) Ovenstående beskrivelse er baseret på ovennævnte ramme, hvilket betyder, at der ikke tages højde for den enkelte kundes aftale. Ansvaret for forretningssystemer og brugersystemer, som drives via DanDomains hostingydelser, er kundernes eget ansvar. Kunderne har ansvaret for sikring af de nødvendige kontroller i forbindelse med systemudvikling, anskaffelse og ændringshåndtering. DanDomain er ikke ansvarlig for adgangsrettigheder, herunder tildeling, ændring og nedlæggelse, i forhold til den enkelte kundes brugere og deres adgange til DanDomain hostingaktiviteter. Kunden er selv forpligtiget til at sikre de nødvendige kontroller i tilknytning til dette kontrolmål. Kunderne er ansvarlige for datatransmission til DanDomains hostingaktiviteter, og det er kundernes ansvar at skabe den nødvendige datatransmission til DanDomains datacenter. Kunden skal selv sikre de nødvendige kontroller i tilknytning til dette kontrolmål. DanDomains beredskabsstyring er konstrueret omkring en overordnet beredskabsplan, som beskriver tilgangsmåde og handlinger ved behov for reetablering af DanDomain hostingaktiviteter. Der kan udarbejdes specifikke beredskabsplaner for den enkelte kunde efter behov i forhold til risiko ved afbrydelse i forretningsprocesser. /9

10 B ILAG 1: DanDomain har arbejdet med følgende kontrolmål og sikkerhedsforanstaltninger fra ISO27002: Informationssikkerhedspolitik 5.1. Retningslinjer for styring af Informationssikkerhed 6. Organisering af informationssikkerhed 6.1. Interne organisering 6.2. Mobilt udstyr og fjernarbejdspladser 5. Medarbejdersikkerhed 6.3. Før ansættelse 6.4. Under ansættelsen 6.5. Ansættelsesforhold ophør eller ændring 7. Styring af aktiver 7.1. Ansvar for aktiver 7.2. Klassifikation af informationer 7.3. Mediehåndtering 13. Kommunikationssikkerhed Styring af netværkssikkerhed 15. Leverandørsikkerhed Informationssikkerhed i leverandørforhold Styring af leverandørydelser 16. Styring af informationssikkerhedsbrud Styring af informationssikkerhedsbrud og forbedringer 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Informationssikkerhedskontinuitet Redundans 9. Adgangsstyring 9.1. Forretningsmæssige krav til adgangsstyring 9.2. Administration af brugeradgang 9.3. Brugernes ansvar 9.4. Styring af system- og applikationsadgange 11. Fysisk sikkerhed og miljøsikring Sikre områder Udstyr 12. Driftsikkerhed Driftsprocedurer og ansvarsområder Malwarebeskyttelse Backup Logning og overvågning Styring af driftssoftware Sårbarhedsstyring /10

11 K APITEL 3: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af de generelle it-kontroller, deres udformning og funktionalitet. Til kunder af DanDomain hostingydelser og disses revisorer Omfang Vi har fået som opgave at afgive erklæring om DanDomain beskrivelse i kapitel 2 (inkl. bilag 1), som er en beskrivelse af de generelle it-kontroller, som udføres i forbindelse med driften af DanDomain hostingaktiviteter til behandling af kunders transaktioner i perioden 1. januar december 2014, og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Erklæringen er afgivet efter helhedsmetoden, hvilket betyder, at denne erklæring også omfatter de it-sikkerhedsmæssige kontroller og kontrolaktiviteter, som er tilknyttet i forbindelse med anvendelse af eksterne samarbejdspartnere. DanDomain er medlem af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), hvilket medfører en række forhold, som virksomheden skal overholde for at opnå retten til at bruge BFIH s kvalitetsmærke Certificeret IT-hosting. Vores erklæring omfatter også disse forhold, som består ud over de fysiske forhold såsom server, hardware, LAN, WAN og firewall af en konklusion om: hvorvidt DanDomain har implementeret kritiske sikkerhedsopdateringer inden for 2 mdr. fra frigivelse, og hvorvidt DanDomain kan reetablere enheder i datacenter inden for 3 dage. Erklæringen dækker ikke kundespecifikke forhold. Desuden dækker erklæringen ikke de komplementerende kontroller og kontrolaktiviteter, som udføres af brugervirksomheden, jf. virksomhedsbeskrivelsen kapitel 2, afsnittet om komplementerende kontroller. DanDomain ansvar DanDomain er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn i kapitel 2 (inkl. bilag 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret; for leveringen af de ydelser beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Revisors ansvar Vores ansvar er, på grundlag af vores handlinger, at udtrykke en konklusion om DanDomain beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlig henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelse, udformning og funktionalitet af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. /11

12 En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden i de heri anførte mål samt hensigtsmæssigheden af de kriterier, som DanDomain har specificeret og beskrevet i kapitel 2 (inkl. bilag 1). Det er RSM plus opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos DanDomain DanDomain beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtig efter deres særlige forhold. Endvidere vil kontroller hos DanDomain, som følge af deres art, muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos serviceleverandører kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er kriterier, der er beskrevet i kapitel 1 i ledelsens erklæring. Det er vores opfattelse, a) at beskrivelsen af de af DanDomain generelle it-kontroller til hostingaktiviteter, således som det var udformet og implementeret i hele perioden fra 1. januar december 2014, i alle væsentlige henseender er retvisende, og b) at kontrollerne, som knyttede sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar december 2014, og c) at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden fra 1. januar december 2014, og d) at kontrollerne i forhold til de særlige krav, som er tilknyttet DanDomain medlemskab af BFIH jf. virksomhedsbeskrivelsen i kapitel 2, var hensigtsmæssigt udformet og har fungeret effektivt i hele perioden fra 1. januar december Vi skal bemærke, at der for de enkelte kunder kan være specifikke forhold, som gør, at den generelle konklusion ikke er dækkende. Hvis det er aftalt mellem kunden og DanDomain, at der udarbejdes en specifik erklæring vedrørende kundens kontrakt, vil forholdene fremgå heraf. Beskrivelse af test kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse test fremgår af kapitel 4. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller under kapital 4 er udelukkende tiltænkt DanDomain kunder og deres revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. København, den 9. juni 2015 RSM plus P/S statsautoriserede revisorer Kim Larsen Statsautoriseret revisor Jesper Aaskov Pedersen Head of IT Assurance & Advisory /12

13 KAPITEL 4: Revisors beskrivelse af kontrolmål, sikkerhedstiltag, test og resultater heraf Vi har struktureret vores arbejde i overensstemmelse med IASE 3402 erklæring med sikkerhed om kontroller hos en serviceleverandør. For hvert kontrolmål indleder vi med et kort resumé af kontrolmålet, som det er beskrevet i referencerammen ISO27002:2014. Derefter opremser vi i første kolonne de aktiviteter, som DanDomain jf. sin dokumentation har iværksat for at leve op til kontrolmålene, i anden kolonne hvordan vi har valgt at teste, om det forholder sig som beskrevet, og i tredje kolonne, hvad resultatet af vores test har været. Hvad angår periode har vi i vores test forholdt os til, om DanDomain har levet op til kontrolmålene i perioden 1. januar december K ONTROLMÅL: Risikovurdering og håndtering Risikovurdering skal identificere og prioritere risici med udgangspunkt i driften af hostingaktiviteter. Resultatet skal bidrage til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. Gennem en risikovurdering er der sket identificering og prioritering af risici. Udgangspunkt for vurderingen er de i beskrivelsen definerede hostingaktiviteter. Resultatet bidrager til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. Vi har forespurgt og indhentet det relevante materiale ifm. revisionen af risikohåndteringen. Vi har kontrolleret, at der for hostingaktiviteter arbejdes med en løbende risikovurdering, som opstår som følge af de forretningsmæssige forhold og dennes udvikling. Vi har kontrolleret, at risikovurderingen er forankret ned igennem de organisatoriske forhold. Vi har kontrolleret, at der sker løbende behandling af virksomhedens risikobillede, og med dertil hørende løbende tilpasning af konsekvenser og sandsynlighed. /13

14 KONTROLMÅL 5: Informationssikkerhedspoltikker Ledelsen skal udarbejde en informationssikkerhedspolitik, som bl.a. skal indeholde ledelsens sikkerhedsmålsætning, - politik og overordnede handlingsplan. Informationssikkerhedspolitikken vedligeholdes under hensyn til den aktuelle risikovurdering. Det er en skriftlig strategi, som bl.a. indeholder ledelsens sikkerhedsmålsætning, -politik og overordnede handlingsplan. It-sikkerhedspolitikken og de tilhørende støttepolitikker er godkendte af virksomhedens ledelse, og efterfølgende forankret ned gennem virksomhedens organisation. Politikken er tilgængelig for alle relevante medarbejdere. Politikken revurderes efter planlagte intervaller. Vi har indhentet og revideret DanDomain seneste itsikkerhedspolitik. Gennem revisionen har vi kontrollet, at der sker løbende vedligeholdelse af it-sikkerheds-politikken. Samtidig har vi ved revisionen kontrolleret, at de underliggende støttepolitikker er implementeret. Vi har kontrolleret, at politikken er godkendt og underskrevet af virksomhedens bestyrelse og direktion, og den er gjort tilgængelig for medarbejderne via DanDomain intranet. /14

15 KONTROLMÅL 6: Organisering af informationssikkerhed Der skal etableres en styring af it-sikkerheden i virksomheden. Der skal være placeret et organisatorisk ansvar for itsikkerheden med passende forretningsgange og instrukser. Den it-sikkerhedsansvarliges rolle skal bl.a. sikre overholdelse af sikringsforanstaltninger, herunder løbende ajourføring af den overordnede risikovurdering. Eksterne samarbejdspartnere skal overholde virksomhedens fastlagte rammer for it-sikkerhedsniveau. Der er placeret et organisatorisk ansvar for it-sikkerhed, og det er dokumenteret og implementeret. It-sikkerheden er koordineret på tværs af virksomhedens organisatoriske rammer. Der foreligger passende forretningsgange for medarbejdere omkring angivelse af tavshedserklæring. Gennem inspektion og test har vi sikret, at det organisatoriske ansvar for it-sikkerhed er dokumenteret og implementeret. Vi har kontrolleret, at it-sikkerheden er forankret på tværs af organisation i forhold til hostingaktiviteter. Ved interview har vi kontrolleret, at den itsikkerhedsansvarlige har kendskab til rollen og de tilhørende ansvarsområder. Gennem forespørgsler og stikprøve på ansættelsesaftale har vi kontrolleret, at medarbejdere i DanDomain er bekendte med deres tavshedspligt. Risici i relation til eksterne parter er identificeret, og sikkerhed i aftaler med tredjemand og sikkerhedsforhold i relation til kunder håndteres. Det er kontrolleret, at der findes formelle samarbejdsaftaler i forbindelse med anvendelse af eksterne samarbejdspartnere. Revisionen har stikprøvevis inspiceret, at samarbejdsaftaler med eksterne leverandører overholder kravene omkring afdækning af relevante sikkerhedsforhold i forhold til den enkelte aftale. /15

16 KONTROLMÅL 7 : Medarbejdersikkerhed Der skal sikres, at alle nye medarbejdere er opmærksomme på deres særlige ansvar og rolle i forbindelse med virksomhedens informationssikkerhed for derigennem at minimere risikoen for menneskelige fejl, tyveri, svindel og misbrug af virksomhedens informationsaktiver. Via fastlagte arbejdsprocesser og procedurer er det sikret, at alle nye medarbejdere får oplyst deres særlige ansvar og rolle i forbindelse med ansættelse i DanDomain. Herunder de fastlagte rammer for deres arbejde og den omkringliggende it-sikkerhed. Eventuelle sikkerhedsansvar er fastlagt, og nærmere beskrevet gennem stillingsbeskrivelse og i form af vilkår i ansættelseskontrakten. Medarbejderne er bekendte med deres tavshedspligt via en underskrevet ansættelseskontrakt og via DanDomain personalepolitik. Vi har kontrolleret, at de af ledelsen udarbejdede forretningsgange og procedurer i forbindelse med ansættelse og ansættelsesophør er overholdt. Gennem stikprøver har vi testet, om ovenstående forretningsgange og procedurer er overholdt både i forhold til ansættelse og ansættelsesophør. Ved interview har vi kontrolleret, at væsentlige medarbejdere for hostingaktiviteter er bekendt med deres tavshedspligt. Vi har gennemgået centrale medarbejderes stillingsbeskrivelser, og efterfølgende testet den enkelte medarbejders kendskab til arbejdsmæssige roller og tilhørende sikkerhedsansvar. Revision har påset, at DanDomain personalepolitik er nemt tilgængelig, og har et afsnit omkring vilkår for fortrolighed, som følge af information opnået ifm. arbejde udført hos DanDomain. /16

17 KONTROLMÅL 8: Styring af aktiver Der skal være sikring og vedligeholdelse af den nødvendige beskyttelse af virksomhedens informationsaktiver, og alle virksomhedens fysiske og funktionsmæssige informationsrelaterede aktiver skal identificeres, og der skal udpeges en ansvarlig ejer. Virksomheden skal sikre, at informationsaktiver i forhold til hostingaktiviteter får et passende beskyttelsesniveau. Alle informationsaktiver er identificeret, og der er etableret en ajourført fortegnelse over alle væsentlige aktiver. Der er udpeget en ejer for alle væsentlige aktiver i forbindelse med driften af hostingaktiviteter. Vi har gennemgået og kontrolleret virksomhedens centrale it-register for væsentlige it-enheder i tilknytning til driften af DanDomain hostingaktiviteter. Gennem observation og kontrol har vi kontrolleret relationer over til de centrale knowhow systemer for driften af hostingaktiviteter. Vi har ved observationer og forespørgsler kontrolleret, at DanDomain overholder de væsentligste sikringsforanstaltninger for området i henhold til sikkerhedsstandarden. Informationer og data i relation til hostingaktiviteter og den efterfølgende drift af hostingcenter er klassificeret på grundlag af forretningsmæssig værdi, følsomhed og behovet for fortrolighed. Vi har kontrolleret, at der er passende opdeling og tilhørende procedurer/forretningsgange ifm. beskyttelse omkring ejerskab mellem applikationer og data samt øvrige enheder i forhold til DanDomain drift af hostingaktiviteter. Vi har kontrolleret, at kontrakter og SLA anvendes som et centralt værktøj til at sikre definitionen, adskillelse og afgrænsning mellem DanDomain ansvarsområder og overgangen til kundens ansvarsområde ifm. adgang til informationer og data. Derved påhviler det typisk kunden et eget ansvar at sikre, at der er et passende beskyttelsesniveau på egne informationer og data. Der er procedurer for, hvorledes der skal ske destruktion af databærende medier. Vi har: forespurgt ledelsen om hvilke procedurer/ kontrolaktiviteter, der udføres. stikprøvevist gennemgået procedurerne for destruktion af databærende medier, til bekræftelse af at de er formelt dokumenterede. /17

18 KONTROLMÅL 9 : Adgangsstyring At styre adgangen til virksomhedens systemer, informationer og netværk med udgangspunkt i de forretnings- og lovgivningsbetingede krav. At sikre autoriserede brugeres adgang og forhindre uautoriseret adgang. Der foreligger dokumenterede og ajourførte retningslinjer for DanDomain adgangsstyring. Vi har: forespurgt ledelsen, om der er etableret procedurer for adgangsstyring i DanDomain. stikprøvevist påset, at procedurer for adgangsstyring eksisterer og er implementeret jf. DanDomain retningslinjer. gennem interview af nøglepersoner samt ved stikprøvevis inspektion påset, at adgangsstyring til driftsmiljøet følger DanDomain retningslinjer, og at autorisationer tildeles i henhold til aftale. Der er en formaliseret forretningsgang for tildeling og afbrydelse af brugeradgang. Tildeling og anvendelse af udvidede adgangsrettigheder er begrænset og overvåges. Vi har forespurgt ledelsen, om der er etableret procedurer for adgangsstyring i DanDomain. Vi har ved stikprøvevis inspektion påset, at der anvendes passende autorisationssystemer i relation til adgangsstyring i DanDomain. at den formaliserede forretningsgang for tildeling og afbrydelse i brugeradgang er implementeret i DanDomain systemer, og at der foretages løbende opfølgning på registrerede brugere. Interne brugers adgangsrettigheder gennemgås regelmæssigt efter en formaliseret forretningsgang. Vi har ved stikprøvevis inspektion påset, at der eksisterer en formaliseret forretningsgang for opfølgning på kontrol af autorisationer i henhold til retningslinjerne, herunder: at der foretages løbende formel ledelsesmæssig opfølgning på registrerede brugere med udvidede rettigheder hver 3. måned at der foretages løbende formel ledelsesmæssig opfølgning på registrerede brugere med almindelige rettigheder hver 6. måned. Tildeling af adgangskoder styres gennem en formaliseret og kontrolleret proces, som bl.a. sikrer at der sker skift af standard password. Vi har forespurgt ledelsen, om der er etableret procedurer for tildeling af adgangskoder i DanDomain. Vi har ved stikprøvevis inspektion påset, at der ved tildeling af adgangskode sker en automatisk systemmæssig kontrol af, at password skiftes ved første login. at standard password ved implementering af systemsoftware mv. skiftes. hvor dette ikke er muligt, at procedurer sikrer, at der sker manuelt skift af standard password. /18

19 Adgange til operativsystemer og netværk er beskyttet med password. Der er opsat kvalitetskrav til password, således at der kræves en minimumslængde (5 tegn), ingen krav til kompleksitet og maksimal løbetid (max 90 dage), lige som password opsætninger medfører, at password ikke kan genbruges (husker de seneste 5 versioner). Endvidere bliver brugeren lukket ude ved gentagne fejlslagne forsøg på login. Vi har forespurgt ledelsen, om der er etableret procedurer, der sikrer kvalitetspassword i DanDomain. Vi har ved stikprøvevis inspektion påset, at der er etableret passende programmerede kontroller for sikring af kvalitetspassword, der sikrer efterlevelse af politikker for: minimum længde for password minimum levetid for password maksimal levetid for password minimum historik for password lockout efter fejlede login forsøg /19

20 KONTROLMÅL 11: Fysisk sikkerhed og miljøsikring Der skal være beskyttelse af virksomhedens lokaler og informationsaktiver mod uautoriseret fysisk adgang samt fysiske skader og forstyrrelser. Der skal opbygges sikkerhedstiltag, som sikrer, at der undgås tab af, skader på eller kompromittering af virksomhedens informationsaktiver samt forstyrrelser af virksomhedens forretningsaktiviteter. Beskyttelsesforanstaltningerne skal også omfatte destruktion af forældet eller beskadiget udstyr samt nødvendige forsyninger som el, vand og ventilation samt kabelinstallationer. Der er etableret en sikker fysisk afgrænsning, som beskytter de områder, hvorfra hostingaktiviteter driftes. De sikre områder er beskyttet med adgangskontrol, så kun autoriserede personer kan få adgang. Der er etableret overvågning af områder til af- og pålæsning samt øvrige områder, hvortil offentligheden har adgang. Jf. serviceleverandørers beskrivelse er den fysiske adgangssikkerhed bl.a. gennemgået og kontrolleret med udgangspunkt i de af ledelsen fastsatte krav. Vi har gennemgået og kontrolleret de fysiske adgange til begge datacentre, som bl.a. sikres via et nøglesystem kombineret med personlig kode, som sikrer begrænset adgang til DanDomain datacenter. Via besøg, interview og observation er det kontrolleret, at adgangen til begge DanDomain datacenter er i overensstemmelse med ovenstående forretningsgange omkring adgangsbegrænsning. Vi har stikprøvevis gennemgået procedurer for fysisk sikkerhed vedrørende sikrede områder for at vurdere, om adgang til disse områder forudsætter dokumenteret ledelsesmæssig godkendelse, samt at personer uden godkendelse til sikrede områder skal registreres og ledsages af medarbejder med behørig godkendelse. Vi har stikprøvevis gennemgået medarbejdere med adgang til sikre områder og påset, at de er oprettet i henhold til de fastlagte procedurer. Udstyr som er placeret i datacenter beskyttes mod fysiske trusler såsom brand, vandskade, strømafbrydelse, tyveri eller hærværk. Datacenteret er sikret mod forsyningssvigt som elektricitet, vand, varme og ventilation. Der er installeret udstyr til overvågning af indeklima, såsom luftfugtighed. Kabler til brug for datakommunikation og elforsyning er beskyttet imod uautoriserede indgreb. Udstyret til brug for hostingaktiviteter vedligeholdes efter forskrifterne for at sikre dets tilgængelighed og pålidelighed. Det udstyr, der benyttes uden for datacenteret, beskyttes efter samme ret- Vi har gennemgået og kontrolleret, at DanDomains datacenter overholder de af ledelsen fastsatte krav. Revisionen har kontrolleret overholdelsen af de nødvendige sikringsforanstaltninger jf. ISO afsnit 11 i forholdene til beskyttelse mod skader, forårsaget af fysiske forhold som f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Konkret har vi: påset tilstedeværelse af brandbekæmpelsessystemer og køling i datacenter. gennemgået og kontrolleret dokumentation for vedligeholdelse til bekræftelse af, at UPS og dieselgenerator løbende vedligeholdes og testes. observeret under besøg i datacenter, at der foretages monitering af UPS og dieselgenerator. påset tilstedeværelse af udstyr til overvågning af indeklima i datacentre. påset sikring af kabler for datakommunikation /20

21 ningslinjer, som gælder for udstyr inden i datacenter, under hensyntagen til de særlige risici ved ekstern anvendelse. Alt udstyr med lagringsmedier kontrolleres for at sikre, at kritiske/følsomme informationer og licensbelagte systemer er fjernet eller overskrevet, når udstyret bortskaffes eller genbruges. og elforsyning. stikprøvevis gennemgået dokumentationen for at vedligeholdelse af udstyr til beskyttelse med fysiske trusler sker ved løbende vedligeholdelse. gennemgået og kontrolleret de af ledelsen udarbejdede procedurer til bortskaffelse af udstyr tilknyttet driften af hostingaktiviteter. I forbindelse med anvendelse af datacenter 2 skal sikkerhedstiltagene være ligestillet med kravene til DanDomains eget datacenter. Gennem revision har vi testet, at datacenter 2 indeholder og overholder de samme tiltag for DanDomains eget datacenter. /21

22 KONTROLMÅL 12: Driftsikkerhed Kontrolmål: Driftsprocedure og ansvarsområder En korrekt og betryggende driftsafvikling af virksomhedens styresystemer skal sikres. Risikoen for teknisk betingede nedbrud skal minimeres. En vis grad af langtidsplanlægning er påkrævet for at sikre tilstrækkelig kapacitet. Der skal derfor foretages en løbende kapacitetsfremskrivning baseret på de forretningsmæssige forventninger til vækst og nye aktiviteter og de heraf afledte kapacitetskrav. Der er dokumenteret driftsafviklingsprocedure for forretningskritiske systemer, og de er tilgængelige for personale med et arbejdsbetinget behov. Ledelsen har implementeret politikker og procedurer til sikring af tilfredsstillende funktionsadskillelse. Der er etableret en styring af driftsmiljøet for at minimere risikoen for teknisk betingede nedbrud. Der foretages en løbende kapacitetsfremskrivning baseret på de forretningsmæssige forventninger til vækst og nye aktiviteter og de heraf afledte kapacitetskrav. Vi har: forespurgt ledelsen om alle relevante driftsprocedurer er dokumenteret. i forbindelse med revisionen af de enkelte driftsområder stikprøvevis kontrolleret, at der foreligger dokumenterede procedurer, samt at der er overensstemmelse mellem dokumentationen og de handlinger, som faktisk udføres. foretaget inspektion af brugere med administrative rettigheder, til verificering af at adgange er begrundet i et arbejdsbetinget behov og ikke kompromitterer funktionsadskillelsen. Vi har: forespurgt ledelsen om de procedurer/ kontrolaktiviteter, der udføres. stikprøvevist gennemgået, at ressourceforbruget i driftsmiljøet bliver overvåget og tilpasset i forhold til det forventede og nødvendige kapacitetsbehov. Kontrolmål: Malwarebeskyttelse At beskytte mod skadevoldende programmer, som eksempelvis virus, orme, trojanske heste og logiske bomber. Der skal træffes foranstaltninger til at forhindre og konstatere angreb af skadevoldende programmer. Der er etableret både forebyggende, opklarende og udbedrende sikrings- og kontrolforanstaltninger, herunder den nødvendige uddannelses- og oplysningsindsats for virksomhedens brugere af informationssystemer mod skadevoldende programmer. Vi har: forespurgt og inspiceret de procedurer/ kontrolaktiviteter, der udføres i tilfælde af virusangreb eller udbrud. forespurgt og inspiceret de aktiviteter, som skal gøre medarbejdere opmærksomme på forholdsregler ved virusangreb eller udbrud. kontrolleret at servere har installeret antivirusprogrammer, inspiceret signaturfiler, der dokumenterer, at de er opdateret. /22

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

LINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING. Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service.

LINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING. Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. JUNI 2016 LINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. Beierholm Statsautoriseret Revisionspartnerselskab

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S FEBRUAR 2016 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

DFF-EDB a.m.b.a CVR nr.:

DFF-EDB a.m.b.a CVR nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-12-2014 til 30-11-2015 ISAE 3402-II any.cloud

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING JANUAR 2016 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S FEBRUAR 2017 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-Data Danmark A/S hostingaktiviteter. Beierholm

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING JANUAR 2017

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING JANUAR 2017 JANUAR 2017 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Multihouses hostingaktiviteter. Beierholm Statsautoriseret Revisionspartnerselskab

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

DFF EDB a.m.b.a. CVR-nr.:

DFF EDB a.m.b.a. CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25814606

SYSTEMHOSTING A/S CVR nr.: 25814606 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2014 til 31-12-2014 SYSTEMHOSTING

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

NORRIQ Danmark A/S CVR-nr.:

NORRIQ Danmark A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-01-2016 til 31-12-2016 ISAE 3402-II NORRIQ Danmark

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2015 til 31-12-2015 SYSTEMHOSTING

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

It-beredskabsstrategi for Horsens Kommune

It-beredskabsstrategi for Horsens Kommune It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser April 2013 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S

Læs mere

A/S it-drift og hostingaktiviteter

A/S it-drift og hostingaktiviteter www.pwc.dk Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Indhold 1. Ledelsens erklæring 3 2. Outforce

Læs mere

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Sotea A/S 19. april 2016 version 1.0 1

Sotea A/S 19. april 2016 version 1.0 1 version 1.0 1 1.... 3 2.... 3 3.... 4 4.... 5 5.... 5 6.... 6 7.... 6 version 1.0 2 1. Nærværende Service Level Agreement dokumenterer det aftalte serviceniveau, og beskriver kundens garanti i forbindelse

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2013 August 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 15. august 2014 Formål Vi har i perioden

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

A/S SCANNET Service Level Agreement

A/S SCANNET Service Level Agreement A/S SCANNET Service Level Agreement Outsourcing, server og webhosting INDHOLD 1. GENERELT...1 1.1 STANDARDER & DEFINITIONER...1 2. DRIFTSVINDUE & OPPETID...2 2.1 SERVICEVINDUE...2 2.2 EKSTRAORDINÆR SERVICE...2

Læs mere

any.cloud A/S CVR-nr.:

any.cloud A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelsen i perioden 01-12-2015 til 30-11-2016 ISAE 3402-II any.cloud

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere